Forum
Bildirimler
Hepsini Temizle
Windows Server
4
Yazılar
2
Üyeler
0
Likes
459
Görüntüleme
Konu başlatıcı
Merhaba
dc lerden birinde geçen 15 gün önce şimdi aşağıdaki gibi bir problem var. dc yi retart edince rdp yapabiliryoruz ve açabiliyoruz
Gönderildi : 30/10/2018 20:32
Merhaba
Bu normal bir durum, kullanıcı hesabının şifresi dolmuş bunu öncelikle güncellemeniz isteniyor. Eğer RDP özelliklerinde NLA açık ise bunu yönetemiyor, bunu kapatırsanız bu sorunu çözebilirsiniz.
Veya buradaki gibi bir kayıt defteri değişikliği yapabilirsiniz
The error dialog looks like this:
Cause
When processing the password change for a user where the password is expired or set to change at next logon, Winlogon uses an anonymous token to process the password change request.
The password change dialog allows changing passwords against remote computers as well, so the API calls use remoteable interfaces through RPC over Named Pipes over SMB. For this protocol sequence, the RPC runtime reads a policy setting "Server2003NegotiateDisable" from the key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc".
This fails in the context of the anonymous token as the default permissions allow only authenticated users, administrators and LocalSystem to read the key.
When NLA is enabled, the user session request does not validate and thus fails.
Resolution
The approaches to avoid this problem are:
- Change the password remotely. Note that currently the user in the context you run the remote password change needs to be able to logon to the target server with the default credentials (or already connected using SMB to the server at the time of the password change already).
- Change the permissions of the key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc" to allow anonymous to read the key. If the key does not exist, you may create it and then add the read permissions for the anonymous account.
NOTE For approach 2, in an attempt to recover from an error, it might happen that the group policy service deletes the keys and recreates them using defult permissions. In this case you have to re-apply the permissions.
You can automate setting the permissions on using Registry Security Policy when the machine is member of the domain. For workgroup machines you can import this text as rpc-pol.inf file:
---------------------------
[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[Registry Keys]
"MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\rpc",0,"D:PAR(A;CIIO;KA;;;CO)(A;CI;KA;;;SY)(A;CI;KA;;;BA)(A;CI;KR;;;S-1-5-7)(A;CI;KR;;;BU)"
------------------------------
You can apply it using:
secedit /configure /db C:\Windows\security\database\rpc-pol.sdb /cfg rpc-pol.inf /log rpc-pol.log
Note the key must exist so this is successful.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 31/10/2018 00:08
Konu başlatıcı
teşekkürler hocam
Gönderildi : 31/10/2018 12:57
Rica ederim.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 01/11/2018 01:59
