在 Windows 上的 RDP 会话中更改用户密码

在本文中，我们将展示如何在远程 Windows 计算机上的 RDP 会话中更改用户密码。作为远程主机，您可能拥有配置了远程桌面服务角色 (RDSH) 的 Windows Server，或者允许具有一个或多个 RDP 连接的 Windows 10 工作站。

用户遇到的主要问题是无法在远程桌面 (RDP) 会话中使用 Ctrl + Alt + Delete 组合键打开标准密码更改对话框。此快捷方式不会传递到 RDP 会话，因为它在本地操作系统上运行。

在 Windows Server 2003/2008 中，您可以通过单击“开始”按钮并选择Windows 安全 -> 更改密码来更改 RDP 中的用户密码。

在以后的版本中，包括Windows Server 2016/2019/2022和Windows 10/11，开始菜单中没有Windows安全项，因此这种更改用户密码的方法不适用。

使用 CTRL + ALT + END 在 RDP 中更改用户密码

在当前的 Windows 版本中，您必须使用 Ctrl + Alt + End 组合键才能在 RDP 会话中打开 Windows 安全对话框。该快捷方式与 Ctrl + Alt + Delete 相同，但仅适用于 RDP 窗口。在菜单中选择更改密码。

您现在可以在标准对话框中更改密码（输入当前密码并设置新密码两次）。

使用屏幕键盘更改密码

如果您通过 RDP 会话链连接到 Windows 主机的远程桌面，则将无法使用 CTRL+ALT+END 更改用户密码。第一个 RDP 窗口将拦截键盘快捷键。在这些情况下，您可以使用内置的 Windows 屏幕键盘来更改用户的密码。

1. 在目标 RDP 会话中运行屏幕键盘（通过键入更容易做到这一点）

   osk.exe

   在开始菜单中）；

   

2. 您将看到屏幕键盘；

3. 按

   CTRL+ALT

   在您的物理（本地）键盘上（这应该显示在屏幕上），然后单击

   Del

   屏幕键盘上的按钮；

   

4. 因此，Ctrl+Alt+Del 组合键将被发送到远程 RDP 会话，并且将出现一个标准的 Windows 安全对话框，您可以在其中更改密码。

请记住，更改用户密码时，它必须符合您的本地或域密码策略要求。

如果您的新密码不符合这些要求，您将看到以下消息：

Unable to update the password. The value provided for the new password does not meet the length, complexity, or history requirements of the domain.

请注意，如果在域策略（或细粒度密码策略 - PSO）中配置了最短密码期限，则这可能会阻止用户比 GPO 设置中指定的频率更频繁地更改密码。
您可以使用 PowerShell 查看用户密码何时过期：

Get-ADUser -Identity jsmith -Properties msDS-UserPasswordExpiryTimeComputed | select-object @{Name="ExpirationDate";Expression= {[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed") }}

用于更改 RDP 会话中密码的 VBS/PowerShell 脚本

您可以使用内置 Windows 工具在 RDP 会话中调用 Windows 安全对话框：VBScript、PowerShell 或 Shell 快捷方式。

例如，在桌面上使用以下 VBScript 代码创建一个 WindowsSecurity.vbs 文本文件：

set objShell = CreateObject("shell.application")
objshell.WindowsSecurity

如果双击 VBS 文件，您将看到用于更改密码的标准表单。

您可以将此 VBS 文件放置在 RDS 主机上的共享桌面上（

%SystemDrive%\Users\Public\Desktop\

）或使用 GPO 将文件复制到用户桌面。

以同样的方式，您可以从 PowerShell 打开密码更改窗口。使用以下命令：

New-Object -COM Shell.Application).WindowsSecurity()

有一个选项可以使用以下链接创建 Windows 文件资源管理器快捷方式：

C:\Windows\explorer.exe shell:::{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}

通过远程桌面 Web 访问 (RDWEB) 更改密码

如果您通过具有远程桌面 Web 访问 (RDWA) 角色的主机访问 RDP 服务器，您可以允许在 RDWA 登录页面上更改过期密码（此处有详细描述）。

RDP 中的 CredSSP NLA 和密码更改

RDP 中有一个与网络级身份验证 (NLA) 和凭据安全支持提供程序 (CredSSP) 协议相关的重要功能，即更改过期的用户密码。默认情况下，在 Windows Server 2012/Windows 8 及更高版本上启用用于 RDP 的 CredSSP 和 NLA。 NLA 通过在与主机建立 RDP 会话之前对用户进行身份验证来保护 RDP 服务器。

如果用户密码已过期或 AD 管理员启用了 userAccountControl 选项“用户下次登录时必须更改密码”（最常为新 AD 帐户启用），则在使用 RDP 登录时您将看到以下错误：

Remote Desktop Connection

You must change your password before logging on the first time. Please update your password or contact your system administrator or technical support.

因此，用户无法使用 RDP 连接到服务器并更改密码。

在这种情况下，要允许远程用户更改其密码，您可以：

• 如上所述，使用密码更改页面配置 RDWA 角色；

• 在 RDP 主机上禁用 NLA（不推荐！！！因为它会显着降低 RDP 连接的安全级别）并使用带有以下行的 .rdp 文件

  enablecredsspsupport:i:0

  用于连接；

• 使用单独的 RDP 主机更改用户密码。您不需要在此主机上安装远程桌面会话主机角色或将用户添加到本地远程桌面用户组，但必须禁用 NLA。然后用户将能够更改密码，但无法通过 RDP 登录服务器；

  

• 用户可以使用 PowerShell 远程更改其密码（如果他们可以通过网络访问域控制器）。