Active Directory: Passwortänderung mittels Webseite

Vorwort

Der folgende Artikel beschreibt eine Möglichkeit mit der Active Directory Benutzer eine Passwortänderung auf einer Website durchführen können. Dafür wird das Windows Feature “Web Access für Remote Desktop” etwas zweckentfremdet. Eine komplette Installation und Konfiguration der Remote Desktop Dienste ist dafür nicht erforderlich.

Hinweis: Der hier beschriebene Weg eignet sich nur dazu das bekannte Active Directory Passwort zu ändern. Ein Zurücksetzen eines vergessenen Passwortes ist hiermit nicht möglich.

Die Passwort Änderung mittels Website ist für Benutzer interessant, die an Rechnern arbeiten, die nicht Mitglied des Active Directory sind.

Vorbereitung

Als Vorbereitung reicht ein installierter Server mit Windows Server 2016 oder Windows Server 2012 R2 aus. Der Server muss Mitglied des Active Directory sein und über die aktuellen Windows Updates verfügen.

image

Installation Web Access für Remote Desktop

Auf dem vorbereiteten Server kann nun via Server Manager die Rolle “Remotedesktopdienste” hinzugefügt werden:

image

Es müssen keine bestimmten Features hinzugefügt werden. Entsprechende Abhängigkeiten werden automatisch installiert. Daher kann hier einfach auf “Weiter” geklickt werden:

image

Als Rollendienst wird nur “Web Access für Remotedesktop” benötigt:

image

An dieser Stelle werden nun alle Abhängigkeiten für den Rollendienst “Web Access für Remotedesktop” hinzugefügt:

image

Die Rollendienste für den IIS Webserver können ebenfalls so belassen werden:

image

Nach der Zusammenfassung können die Rollen installiert werden:

image

Sobald die Rollen installiert wird, kann die Konfiguration beginnen.

Konfiguration

Damit man sich die URL für Passwortänderungen später einfacher merken kann, wird zunächst ein Alias für den Server im DNS angelegt. Ich hab als Beispiel den Alias “password” gewählt und lasse ihn auf den Server zeigen:

image

Im IIS Manager auf dem Server gibt es nun unter der “Default Web Site” die Anwendung “RDWeb”, darunter findet sich die Anwendung “Pages”. Die Anwendung “Pages” wird ausgewählt und die “Anwendungseinstellungen” geöffnet:

image

In den Anwendungseinstellungen muss nun die Einstellung “PasswordChangeEnabled” auf den Wert “true” geändert werden:

image

Jetzt kann bereits die Passwortänderung getestet werden. Das Portal zu Passwortänderung ist unter der folgenden URL erreichbar:

  • https://localhost/RDWeb/Pages/de-DE/password.aspx

oder in meinem Fall (wie im DNS eingetragen):

  • https://password.ad.frankysweb.com/RDWeb/Pages/de-DE/password.aspx

 

Die Seite sieht nun wie folgt aus:

image

Da aber die URL noch recht umständlich ist, wird noch eine Umleitung von der Default Web Site eingerichtet. Dazu wird im IIS Manager die “Default Web Site” ausgewählt und “HTTP-Umleitung” ausgewählt:

image

Als Ziel wird nun die URL des Portals eingetragen und die folgenden Einstellungen ausgewählt:

image

Wichtig: Als Umleitungsziel nicht die “localhost”-Url eingeben! In meinem Fall ist das Weiterleitungsziel https://password.ad.frankysweb.com/RDWeb/Pages/de-DE/password.aspx.

Die Umleitung sorgt dafür das Aufrufe für https://password.ad.frankysweb.com an das Passwortportal weitergeleitet werden:

image

Benutzer können nun mit ihrem Browser einfach die entsprechende URL aufrufen (https://password.ad.frankysweb.com) und ihr Passwort ändern. Allerdings sieht die Seite für ein Portal zu Passwortänderung noch ein bisschen merkwürdig aus. Mit ein paar Anpassungen lässt sich aber auch das beheben.

Anpassungen

Mit ein paar kleinen Anpassungen sieht die Seite eher wie ein Portal zu Passwort Änderung aus. In der folgenden Datei habe ich diese Strings angepasst:

  • C:\Windows\Web\RDWeb\Pages\de-DE\RDWAStrings.xml
  • PageTitle: Passwort ändern
  • HeadingRDWA: Passwort ändern
  • HeadingApplicationName: Portal zur Passwortänderung

image

Zusätzlich habe ich noch in der folgenden Datei einen String angepasst:

C:\Windows\Web\RDWeb\Pages\de-DE\password.aspx

  • L_CompanyName_Text: Passwort ändern

image

Jetzt noch Logo der Seite austauschen, zum Beispiel gegen ein Schloss:

  • C:\Windows\Web\RDWeb\Pages\images\logo_02.png (48×48 Pixel)

 

Jetzt sieht das Passwort Portal auch für den Benutzer ansprechend aus:

image

Mit ein paar weiteren Anpassungen geht es auch noch etwas schlichter oder angepasst an die Coporate Identity:

Active Directory Portal zur Passwortänderung

Bevor das Portal auf die Benutzer losgelassen wird, sollte noch ein entsprechendes SSL Zertifikat hinterlegt werden.

Benutzer müssen allerdings auch rechtzeitig informiert werden, damit Sie ihr Passwort ändern, dies könnte man per Mail erledigen. Ein entsprechender Artikel dazu folgt.

Update: Hier gibt es nun ein Beispiel Script um Benutzer per Mail an die Passwortänderung zu erinnern: Mail wenn Passwort abläuft

26 thoughts on “Active Directory: Passwortänderung mittels Webseite”

  1. Hat schon jemand eine Möglichkeit gefunden bei der Passwort Änderung ein MFA abzufragen?
    Wir würden das ganz gerne für User nutzen deren Passwort abgelaufen ist diese aber dauerhaft im Homeoffice sitzen und dann auf die Seite müssen.
    Jetzt wollen wir die aber nicht so ins Web aufmachen da ja quasi Brute Force ein Kinderspiel ist.

    Jemand eine Idee?

    Reply
  2. Wie sieht das denn nach 120 Tagen aus? Läuft das dann immer noch? Oder braucht’s an der Stelle noch keine RDS-CALs?

    Reply
  3. Hi,
    besteht die Möglichkeit die alte Schreibweise Domäne\Benutzername durch den UPN zu ersetzen?
    Wir haben unsere User gerade dazu erzogen wegen O365 ihren UPN (gleich der Emailadresse) zu benutzen..
    Wäre blöd denen jetzt wieder sagen zu müssen, „Merkt Euch Eure Domäne“ für die Remote Passwortänderung..
    LG

    Reply
  4. Super Arbeit Franky, vielen Dank!!!

    Eine Frage, ist es möglich einen zentralen IIS für Passwortänderung so zu konfigurieren das man verschiedene Domänen auswählen kann? Wir haben z.B. 2 Domänen und würde gern einen IIS Server für beide Domänen haben um das Passwort zu ändern. Danke im Voraus

    Reply
    • AHAH

      Fehler selbst gefunden, evtl. trifft es auch auf die anderen zu:
      Ich habe mich an die Anleitung gehalten und beim Link „de-DE“ verwendet, selbst habe ich aber die englische Version von Server 2019 installiert, hier beim Link anstelle „de-DE“ eben „en-US“ angeben, korrekte Ablage der aspx-Seite unter C:\Windows\Web zu finden.

      Reply
  5. Hallo Franky,

    da man hier Remotedesktopdienste für die User aktiviert, wie sieht es da mit der Microsoft Lizenzierung aus?

    Gruß

    Reply
  6. Hallo Franky,

    könntest du ggf. auch noch die Einrichtung der Seite zur Passwortänderung in einer Sophos UTM erklären?
    Wir haben 4 feste IP Adressen, einer habe ich einen DNS Eintrag zugeordnet (diese wurde bisweilen nirgends genutzt). Unser AD Domainname ist nicht identisch mit unserer öffentlichen Domain.
    Wenn ich jetzt über die feste IP oder den DNS auf die Seite verbinden möchte um die Passwortänderungsseite anzuzeigen, kommt der Fehler, dass ich keine Zugriffserlaubnis auf die Seite hätte.

    Bin dabei so hier vorgegangen: https://www.fastvue.co/sophos/blog/how-to-publish-websites-with-sophos-utm-web-server-protection

    Vielen Dank vorab, falls du in die Richtung auch noch eine Erläuterung machst :)

    Reply
  7. Ich habe exakt das gleiche Phänomen wie Christian (03. Juli 2017).
    Intern in der Domäne gehts auf allen PCs und Servern, von extern geht es nicht…

    Gibts dazu eine Lösung?

    Reply
  8. Hallo, danke für die super Anleitung!

    Jedoch klappt bei mir der Aufruf der Passwortänderungsseite nur auf dem IIS direkt. Nehme ich den Link für den Client dann kann er die Seite nicht finden.

    Serverfehler in der Anwendung /.
    ——————————————————————————–

    Die Ressource kann nicht gefunden werden.
    Beschreibung: HTTP 404. Die gesuchte Ressource oder eine ihrer Abhängigkeiten wurde möglicherweise entfernt, umbenannt oder ist vorübergehend nicht verfügbar. Überprüfen Sie folgende URL, und stellen Sie sicher, dass sie richtig geschrieben wurde.

    Angeforderter URL: /RDWeb/Pages/de-DE/password.aspx

    Ist das richtig das die aspx-Files unter Windows liegen?

    Kannst du bitte helfen?

    Reply
  9. Hallo,

    es ist doch bestimmt möglich ein Dropdownfeld für die Domänen anzubieten oder?
    Leider kann ich nicht programmieren und weiß nicht wonach ich suchen soll.
    Super wäre es auch wenn das Dropdown die Domänen automatisch auslesen könnte.

    Gruß,
    Matthias

    Reply
  10. Hallo
    Ich bekomme leider beim Passwortwechsel die Meldung, dass es nicht den Richtlinien entspricht (Your new password must meet complexity and length requirements). In der GPO ist es aber alles ausgeschaltet. Gibt es hier einen Workaround oder Lösungansatz?

    Gruss

    Peter

    Reply
    • Hallo Peter,

      über diese Problem bin ich beim Testen auch gefallen. In diesem Fall lag es an dem Eintrag „Minimales Kennwortalter“ diese Stand bei mit auf einem Tag.

      Nachdem ist das geändert hatte, funktioniert alles tadellos.

      MfG
      Dominic

      Reply
    • Wie soll das gehen – wenn Passwort abgelaufen keine Anmeldung mehr möglich – keine Chance auf die Seite zu kommen, oder?

      Reply
    • Moin,
      ja, das funktioniert auch mit abgelaufenen Passwort, hauptsache du kommst an die Webseite! :-)
      Wir haben uns über MobileIron einen Webclip gebaut, der die intere Website des Passwortportals über web@work öffnet. So können unsere Benutzer ihre abgelaufenen Passwörter ganz einfach über ihr iPhone ändern, auch dann wenn Sie sich z.B. im HomeOffice befinden und sich aufgrund des abgelaufenen Passworts nicht mit VPN verbinden können.
      Für uns eine perfekte Lösung!
      Gruß
      Christian

      Reply
  11. Hi,

    ist dafür zwingend ein Server 2012R2/2016 notwenig oder geht es auch mit einem 2008R2 ? Anpassungen notwendig ?

    Danke,

    Ingo

    Reply

Leave a Comment