Vorwort
Der folgende Artikel beschreibt eine Möglichkeit mit der Active Directory Benutzer eine Passwortänderung auf einer Website durchführen können. Dafür wird das Windows Feature “Web Access für Remote Desktop” etwas zweckentfremdet. Eine komplette Installation und Konfiguration der Remote Desktop Dienste ist dafür nicht erforderlich.
Hinweis: Der hier beschriebene Weg eignet sich nur dazu das bekannte Active Directory Passwort zu ändern. Ein Zurücksetzen eines vergessenen Passwortes ist hiermit nicht möglich.
Die Passwort Änderung mittels Website ist für Benutzer interessant, die an Rechnern arbeiten, die nicht Mitglied des Active Directory sind.
Vorbereitung
Als Vorbereitung reicht ein installierter Server mit Windows Server 2016 oder Windows Server 2012 R2 aus. Der Server muss Mitglied des Active Directory sein und über die aktuellen Windows Updates verfügen.
Installation Web Access für Remote Desktop
Auf dem vorbereiteten Server kann nun via Server Manager die Rolle “Remotedesktopdienste” hinzugefügt werden:
Es müssen keine bestimmten Features hinzugefügt werden. Entsprechende Abhängigkeiten werden automatisch installiert. Daher kann hier einfach auf “Weiter” geklickt werden:
Als Rollendienst wird nur “Web Access für Remotedesktop” benötigt:
An dieser Stelle werden nun alle Abhängigkeiten für den Rollendienst “Web Access für Remotedesktop” hinzugefügt:
Die Rollendienste für den IIS Webserver können ebenfalls so belassen werden:
Nach der Zusammenfassung können die Rollen installiert werden:
Sobald die Rollen installiert wird, kann die Konfiguration beginnen.
Konfiguration
Damit man sich die URL für Passwortänderungen später einfacher merken kann, wird zunächst ein Alias für den Server im DNS angelegt. Ich hab als Beispiel den Alias “password” gewählt und lasse ihn auf den Server zeigen:
Im IIS Manager auf dem Server gibt es nun unter der “Default Web Site” die Anwendung “RDWeb”, darunter findet sich die Anwendung “Pages”. Die Anwendung “Pages” wird ausgewählt und die “Anwendungseinstellungen” geöffnet:
In den Anwendungseinstellungen muss nun die Einstellung “PasswordChangeEnabled” auf den Wert “true” geändert werden:
Jetzt kann bereits die Passwortänderung getestet werden. Das Portal zu Passwortänderung ist unter der folgenden URL erreichbar:
- https://localhost/RDWeb/Pages/de-DE/password.aspx
oder in meinem Fall (wie im DNS eingetragen):
- https://password.ad.frankysweb.com/RDWeb/Pages/de-DE/password.aspx
Die Seite sieht nun wie folgt aus:
Da aber die URL noch recht umständlich ist, wird noch eine Umleitung von der Default Web Site eingerichtet. Dazu wird im IIS Manager die “Default Web Site” ausgewählt und “HTTP-Umleitung” ausgewählt:
Als Ziel wird nun die URL des Portals eingetragen und die folgenden Einstellungen ausgewählt:
Wichtig: Als Umleitungsziel nicht die “localhost”-Url eingeben! In meinem Fall ist das Weiterleitungsziel https://password.ad.frankysweb.com/RDWeb/Pages/de-DE/password.aspx.
Die Umleitung sorgt dafür das Aufrufe für https://password.ad.frankysweb.com an das Passwortportal weitergeleitet werden:
Benutzer können nun mit ihrem Browser einfach die entsprechende URL aufrufen (https://password.ad.frankysweb.com) und ihr Passwort ändern. Allerdings sieht die Seite für ein Portal zu Passwortänderung noch ein bisschen merkwürdig aus. Mit ein paar Anpassungen lässt sich aber auch das beheben.
Anpassungen
Mit ein paar kleinen Anpassungen sieht die Seite eher wie ein Portal zu Passwort Änderung aus. In der folgenden Datei habe ich diese Strings angepasst:
- C:\Windows\Web\RDWeb\Pages\de-DE\RDWAStrings.xml
- PageTitle: Passwort ändern
- HeadingRDWA: Passwort ändern
- HeadingApplicationName: Portal zur Passwortänderung
Zusätzlich habe ich noch in der folgenden Datei einen String angepasst:
C:\Windows\Web\RDWeb\Pages\de-DE\password.aspx
- L_CompanyName_Text: Passwort ändern
Jetzt noch Logo der Seite austauschen, zum Beispiel gegen ein Schloss:
- C:\Windows\Web\RDWeb\Pages\images\logo_02.png (48×48 Pixel)
Jetzt sieht das Passwort Portal auch für den Benutzer ansprechend aus:
Mit ein paar weiteren Anpassungen geht es auch noch etwas schlichter oder angepasst an die Coporate Identity:
Bevor das Portal auf die Benutzer losgelassen wird, sollte noch ein entsprechendes SSL Zertifikat hinterlegt werden.
Benutzer müssen allerdings auch rechtzeitig informiert werden, damit Sie ihr Passwort ändern, dies könnte man per Mail erledigen. Ein entsprechender Artikel dazu folgt.
Update: Hier gibt es nun ein Beispiel Script um Benutzer per Mail an die Passwortänderung zu erinnern: Mail wenn Passwort abläuft