Active Directory: Password change via website

by

Foreword

The following article describes a way for Active Directory users to change their password on a website. The Windows feature "Web Access for Remote Desktop" is somewhat misused for this purpose. A complete installation and configuration of the Remote Desktop services is not required for this.

Note: The method described here is only suitable for changing the known Active Directory password. It is not possible to reset a forgotten password.

The password change via website is interesting for users who work on computers that are not members of the Active Directory.

Preparation

An installed server with Windows Server 2016 or Windows Server 2012 R2 is sufficient as preparation. The server must be a member of the Active Directory and have the latest Windows updates.

image

Installation Web Access for Remote Desktop

The "Remote Desktop Services" role can now be added to the prepared server via Server Manager:

image

No specific features need to be added. The corresponding dependencies are installed automatically. You can therefore simply click on "Next" here:

image

Only "Web Access for Remote Desktop" is required as a role service:

image

All dependencies for the "Web Access for Remote Desktop" role service are now added at this point:

image

The role services for the IIS web server can also be left as they are:

image

After the summary, the roles can be installed:

image

As soon as the roles are installed, the configuration can begin.

Configuration

To make it easier to remember the URL for password changes later, an alias is first created for the server in the DNS. As an example, I have chosen the alias "password" and let it point to the server:

image

In the IIS Manager on the server, there is now the "RDWeb" application under the "Default Web Site", below which is the "Pages" application. The "Pages" application is selected and the "Application settings" are opened:

image

In the application settings, the "PasswordChangeEnabled" setting must now be changed to the value "true":

image

The password change can now be tested. The password change portal can be accessed at the following URL:

  • https://localhost/RDWeb/Pages/de-DE/password.aspx

or in my case (as entered in the DNS):

  • https://password.ad.frankysweb.com/RDWeb/Pages/de-DE/password.aspx

 

The page now looks as follows:

image

However, as the URL is still quite cumbersome, a redirection from the default web site is set up. To do this, the "Default Web Site" is selected in the IIS Manager and "HTTP redirection" is selected:

image

The URL of the portal is now entered as the destination and the following settings are selected:

image

Important: Do not enter the "localhost" url as the redirection destination! In my case, the redirection destination is https://password.ad.frankysweb.com/RDWeb/Pages/de-DE/password.aspx.

The redirection ensures that calls for https://password.ad.frankysweb.com are forwarded to the password portal:

image

Users can now simply call up the corresponding URL with their browser (https://password.ad.frankysweb.com) and change their password. However, the page still looks a little strange for a password change portal. With a few adjustments, however, this can also be fixed.

Adjustments

With a few small adjustments, the page looks more like a portal to password change. I have adapted these strings in the following file:

  • C:\Windows\Web\RDWeb\Pages\en-DE\RDWAStrings.xml
  • PageTitle: Change password
  • HeadingRDWA: Change password
  • HeadingApplicationName: Portal for changing passwords

image

I have also adapted a string in the following file:

C:\Windows\Web\RDWeb\Pages\en-DE\password.aspx

  • L_CompanyName_Text: Change password

image

Now replace the logo on the side, for example with a lock:

  • C:\Windows\Web\RDWeb\Pages\images\logo_02.png (48×48 pixels)

 

Now the password portal also looks appealing to the user:

image

With a few further adjustments, it can also be made a little simpler or adapted to the corporate identity:

Active Directory portal for changing passwords

Before the portal is released to the users, a corresponding SSL certificate should be stored.

However, users must also be informed in good time so that they can change their password; this could be done by e-mail. A corresponding article will follow.

Update: Here is an example script to remind users to change their password by e-mail: Mail when password expires

26 thoughts on “Active Directory: Passwortänderung mittels Webseite”

  2. Hat schon jemand eine Möglichkeit gefunden bei der Passwort Änderung ein MFA abzufragen?
    Wir würden das ganz gerne für User nutzen deren Passwort abgelaufen ist diese aber dauerhaft im Homeoffice sitzen und dann auf die Seite müssen.
    Jetzt wollen wir die aber nicht so ins Web aufmachen da ja quasi Brute Force ein Kinderspiel ist.

    Jemand eine Idee?

    Reply

  3. Wie sieht das denn nach 120 Tagen aus? Läuft das dann immer noch? Oder braucht’s an der Stelle noch keine RDS-CALs?

    Reply

  4. Hi,
    besteht die Möglichkeit die alte Schreibweise Domäne\Benutzername durch den UPN zu ersetzen?
    Wir haben unsere User gerade dazu erzogen wegen O365 ihren UPN (gleich der Emailadresse) zu benutzen..
    Wäre blöd denen jetzt wieder sagen zu müssen, „Merkt Euch Eure Domäne“ für die Remote Passwortänderung..
    LG

    Reply

  6. Super Arbeit Franky, vielen Dank!!!

    Eine Frage, ist es möglich einen zentralen IIS für Passwortänderung so zu konfigurieren das man verschiedene Domänen auswählen kann? Wir haben z.B. 2 Domänen und würde gern einen IIS Server für beide Domänen haben um das Passwort zu ändern. Danke im Voraus

    Reply

    • AHAH

      Fehler selbst gefunden, evtl. trifft es auch auf die anderen zu:
      Ich habe mich an die Anleitung gehalten und beim Link „de-DE“ verwendet, selbst habe ich aber die englische Version von Server 2019 installiert, hier beim Link anstelle „de-DE“ eben „en-US“ angeben, korrekte Ablage der aspx-Seite unter C:\Windows\Web zu finden.

      Reply

  9. Hallo Franky,

    da man hier Remotedesktopdienste für die User aktiviert, wie sieht es da mit der Microsoft Lizenzierung aus?

    Gruß

    Reply

  10. Hallo Franky,

    könntest du ggf. auch noch die Einrichtung der Seite zur Passwortänderung in einer Sophos UTM erklären?
    Wir haben 4 feste IP Adressen, einer habe ich einen DNS Eintrag zugeordnet (diese wurde bisweilen nirgends genutzt). Unser AD Domainname ist nicht identisch mit unserer öffentlichen Domain.
    Wenn ich jetzt über die feste IP oder den DNS auf die Seite verbinden möchte um die Passwortänderungsseite anzuzeigen, kommt der Fehler, dass ich keine Zugriffserlaubnis auf die Seite hätte.

    Bin dabei so hier vorgegangen: https://www.fastvue.co/sophos/blog/how-to-publish-websites-with-sophos-utm-web-server-protection

    Vielen Dank vorab, falls du in die Richtung auch noch eine Erläuterung machst :)

    Reply

  12. Ich habe exakt das gleiche Phänomen wie Christian (03. Juli 2017).
    Intern in der Domäne gehts auf allen PCs und Servern, von extern geht es nicht…

    Gibts dazu eine Lösung?

    Reply

  13. Hallo, danke für die super Anleitung!

    Jedoch klappt bei mir der Aufruf der Passwortänderungsseite nur auf dem IIS direkt. Nehme ich den Link für den Client dann kann er die Seite nicht finden.

    Serverfehler in der Anwendung /.
    ——————————————————————————–

    Die Ressource kann nicht gefunden werden.
    Beschreibung: HTTP 404. Die gesuchte Ressource oder eine ihrer Abhängigkeiten wurde möglicherweise entfernt, umbenannt oder ist vorübergehend nicht verfügbar. Überprüfen Sie folgende URL, und stellen Sie sicher, dass sie richtig geschrieben wurde.

    Angeforderter URL: /RDWeb/Pages/de-DE/password.aspx

    Ist das richtig das die aspx-Files unter Windows liegen?

    Kannst du bitte helfen?

    Reply

  14. Hallo,

    es ist doch bestimmt möglich ein Dropdownfeld für die Domänen anzubieten oder?
    Leider kann ich nicht programmieren und weiß nicht wonach ich suchen soll.
    Super wäre es auch wenn das Dropdown die Domänen automatisch auslesen könnte.

    Gruß,
    Matthias

    Reply

  15. Hallo
    Ich bekomme leider beim Passwortwechsel die Meldung, dass es nicht den Richtlinien entspricht (Your new password must meet complexity and length requirements). In der GPO ist es aber alles ausgeschaltet. Gibt es hier einen Workaround oder Lösungansatz?

    Gruss

    Peter

    Reply

    • Hallo Peter,

      über diese Problem bin ich beim Testen auch gefallen. In diesem Fall lag es an dem Eintrag „Minimales Kennwortalter“ diese Stand bei mit auf einem Tag.

      Nachdem ist das geändert hatte, funktioniert alles tadellos.

      MfG
      Dominic

      Reply

    • Wie soll das gehen – wenn Passwort abgelaufen keine Anmeldung mehr möglich – keine Chance auf die Seite zu kommen, oder?

      Reply

    • Moin,
      ja, das funktioniert auch mit abgelaufenen Passwort, hauptsache du kommst an die Webseite! :-)
      Wir haben uns über MobileIron einen Webclip gebaut, der die intere Website des Passwortportals über web@work öffnet. So können unsere Benutzer ihre abgelaufenen Passwörter ganz einfach über ihr iPhone ändern, auch dann wenn Sie sich z.B. im HomeOffice befinden und sich aufgrund des abgelaufenen Passworts nicht mit VPN verbinden können.
      Für uns eine perfekte Lösung!
      Gruß
      Christian

      Reply

  19. Hi,

    ist dafür zwingend ein Server 2012R2/2016 notwenig oder geht es auch mit einem 2008R2 ? Anpassungen notwendig ?

    Danke,

    Ingo

    Reply

Leave a Comment