Active Directory: Passwortänderung mittels Webseite

Vorwort

Der folgende Artikel beschreibt eine Möglichkeit mit der Active Directory Benutzer eine Passwortänderung auf einer Website durchführen können. Dafür wird das Windows Feature “Web Access für Remote Desktop” etwas zweckentfremdet. Eine komplette Installation und Konfiguration der Remote Desktop Dienste ist dafür nicht erforderlich.

Hinweis: Der hier beschriebene Weg eignet sich nur dazu das bekannte Active Directory Passwort zu ändern. Ein Zurücksetzen eines vergessenen Passwortes ist hiermit nicht möglich.

Die Passwort Änderung mittels Website ist für Benutzer interessant, die an Rechnern arbeiten, die nicht Mitglied des Active Directory sind.

Vorbereitung

Als Vorbereitung reicht ein installierter Server mit Windows Server 2016 oder Windows Server 2012 R2 aus. Der Server muss Mitglied des Active Directory sein und über die aktuellen Windows Updates verfügen.

image

Installation Web Access für Remote Desktop

Auf dem vorbereiteten Server kann nun via Server Manager die Rolle “Remotedesktopdienste” hinzugefügt werden:

image

Es müssen keine bestimmten Features hinzugefügt werden. Entsprechende Abhängigkeiten werden automatisch installiert. Daher kann hier einfach auf “Weiter” geklickt werden:

image

Als Rollendienst wird nur “Web Access für Remotedesktop” benötigt:

image

An dieser Stelle werden nun alle Abhängigkeiten für den Rollendienst “Web Access für Remotedesktop” hinzugefügt:

image

Die Rollendienste für den IIS Webserver können ebenfalls so belassen werden:

image

Nach der Zusammenfassung können die Rollen installiert werden:

image

Sobald die Rollen installiert wird, kann die Konfiguration beginnen.

Konfiguration

Damit man sich die URL für Passwortänderungen später einfacher merken kann, wird zunächst ein Alias für den Server im DNS angelegt. Ich hab als Beispiel den Alias “password” gewählt und lasse ihn auf den Server zeigen:

image

Im IIS Manager auf dem Server gibt es nun unter der “Default Web Site” die Anwendung “RDWeb”, darunter findet sich die Anwendung “Pages”. Die Anwendung “Pages” wird ausgewählt und die “Anwendungseinstellungen” geöffnet:

image

In den Anwendungseinstellungen muss nun die Einstellung “PasswordChangeEnabled” auf den Wert “true” geändert werden:

image

Jetzt kann bereits die Passwortänderung getestet werden. Das Portal zu Passwortänderung ist unter der folgenden URL erreichbar:

  • https://localhost/RDWeb/Pages/de-DE/password.aspx

oder in meinem Fall (wie im DNS eingetragen):

  • https://password.ad.frankysweb.com/RDWeb/Pages/de-DE/password.aspx

 

Die Seite sieht nun wie folgt aus:

image

Da aber die URL noch recht umständlich ist, wird noch eine Umleitung von der Default Web Site eingerichtet. Dazu wird im IIS Manager die “Default Web Site” ausgewählt und “HTTP-Umleitung” ausgewählt:

image

Als Ziel wird nun die URL des Portals eingetragen und die folgenden Einstellungen ausgewählt:

image

Wichtig: Als Umleitungsziel nicht die “localhost”-Url eingeben! In meinem Fall ist das Weiterleitungsziel https://password.ad.frankysweb.com/RDWeb/Pages/de-DE/password.aspx.

Die Umleitung sorgt dafür das Aufrufe für https://password.ad.frankysweb.com an das Passwortportal weitergeleitet werden:

image

Benutzer können nun mit ihrem Browser einfach die entsprechende URL aufrufen (https://password.ad.frankysweb.com) und ihr Passwort ändern. Allerdings sieht die Seite für ein Portal zu Passwortänderung noch ein bisschen merkwürdig aus. Mit ein paar Anpassungen lässt sich aber auch das beheben.

Anpassungen

Mit ein paar kleinen Anpassungen sieht die Seite eher wie ein Portal zu Passwort Änderung aus. In der folgenden Datei habe ich diese Strings angepasst:

  • C:\Windows\Web\RDWeb\Pages\de-DE\RDWAStrings.xml
  • PageTitle: Passwort ändern
  • HeadingRDWA: Passwort ändern
  • HeadingApplicationName: Portal zur Passwortänderung

image

Zusätzlich habe ich noch in der folgenden Datei einen String angepasst:

C:\Windows\Web\RDWeb\Pages\de-DE\password.aspx

  • L_CompanyName_Text: Passwort ändern

image

Jetzt noch Logo der Seite austauschen, zum Beispiel gegen ein Schloss:

  • C:\Windows\Web\RDWeb\Pages\images\logo_02.png (48×48 Pixel)

 

Jetzt sieht das Passwort Portal auch für den Benutzer ansprechend aus:

image

Mit ein paar weiteren Anpassungen geht es auch noch etwas schlichter oder angepasst an die Coporate Identity:

Active Directory Portal zur Passwortänderung

Bevor das Portal auf die Benutzer losgelassen wird, sollte noch ein entsprechendes SSL Zertifikat hinterlegt werden.

Benutzer müssen allerdings auch rechtzeitig informiert werden, damit Sie ihr Passwort ändern, dies könnte man per Mail erledigen. Ein entsprechender Artikel dazu folgt.

Update: Hier gibt es nun ein Beispiel Script um Benutzer per Mail an die Passwortänderung zu erinnern: Mail wenn Passwort abläuft

6 Gedanken zu “Active Directory: Passwortänderung mittels Webseite

  1. Hi,

    ist dafür zwingend ein Server 2012R2/2016 notwenig oder geht es auch mit einem 2008R2 ? Anpassungen notwendig ?

    Danke,

    Ingo

  2. Hallo zusammen,

    können mit dem Formular auch abgelaufene Kennwörter neu gesetzt werden?

    Viele Grüße!
    Andreas

  3. Wie soll das gehen – wenn Passwort abgelaufen keine Anmeldung mehr möglich – keine Chance auf die Seite zu kommen, oder?

  4. Hallo
    Ich bekomme leider beim Passwortwechsel die Meldung, dass es nicht den Richtlinien entspricht (Your new password must meet complexity and length requirements). In der GPO ist es aber alles ausgeschaltet. Gibt es hier einen Workaround oder Lösungansatz?

    Gruss

    Peter

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.