Die Vorgeschichte
Löblicherweise hat ein Kunde das Benutzerkonto eines ausgeschiedenen Mitarbeiters deaktiviert.
Da in dieser winzigen Aussenstelle die Passwörter untereinander bekannt waren, wurden die Passwörter der beiden anderen Benutzer auch gleich geändert.
Das Problem
Der Kunde hat die Optionen “Kennwort bei der nächsten Anmeldung ändern” bei der Kennwortänderung sinnvoll gefunden.
Der Test, ob die Anmeldung über RDP auf den Terminalserver über das Internet von der Aussenstelle aus klappt, schlug mit der Meldung fehl:
“Authentifizierungsfehler.
Die lokale Sicherheitsauthorität (LSA) ist nicht erreichbar.
Remotecomputer:
Ursache könnte in abgelaufenes Kennwort sein.
Aktualisieren Sie das Kennwort, wenn es abgelaufen ist.
Wenden Sie sich an den Administrator oder den technischen Support, wenn Sie Unterstützung wünschen.”
Die RDP-Verbindung möchte von extern natürlich eine Authentifizierung haben.
Jetzt soll der Benutzer sich aber auch bei der nächsten Anmeldung ein neues Passwort geben.
Nun kommt es zum Konflikt zwischen der Notwendigkeit der Authentifizierung und der gleichzeitigen Passwortänderung.
Lösung
Den beiden Benutzern wurde erst einmal ein neues Passwort vergeben. Dabei wurde darauf geachtet die Kennwortänderung bei der nächsten Anmeldung zu deaktivieren.
Nach der “Replikationsschweigeminute” wurde den Benutzern das aktuelle Passwort telefonisch übermittelt.
Die Anmeldung war nun erfolgreich.
Mit etwas verbalem “Händchen halten” wurde abschließend noch die “manuelle Kennwortänderung” durchgeführt und alles lief wieder wie geschmiert.