用户名密码修改

前几天有个单位，新配置了一台服务器，做文件服务器，为网络中提供共享文件夹服务，该单位大约有50多个用户。服务器采用Windows Server 2008 R2操作系统，升级到Active Directory，为单位每个职工创建了一个用户名，在服务器上除了为每个用户创建一个“共享文件夹”保存个人数据外，还创建了“公共”共享文件夹，保存单位的数据，并且在公共文件夹中创建了若干子目录，通过用户权限，设置只让指定用户上传、修改其中的文件。

在开始规划的时候，是计划让单位的所有计算机加入到域，采用域用户登录到计算机，使用并访问服务器提供的共享文件夹。但在配置好服务器之后，在准备将工作站加入到域时，发现单位的大多数计算机都是Windows XP HOME操作系统，不能加入到域（Windows XP Professional可以加入到域）。虽然可以将Windows XP HOME升级到Windows XP Professional，并且也能保留原来的计算机设置，但与用户商量，有以下几点，用户有疑虑：

（1）Windows XP HOME是计算机OEM的操作系统，如果升级到Windows XP Professional，虽然技术上没有问题，但这与软件购买的许可冲突（该单位都是正版操作系统，包括服务器操作系统）。

（2）单位的许多用户，都习惯在“桌面”保存大量的文件，在加入到域之后，还要将保存在原来“本地用户”文件夹中的“桌面”数据“移动”到新的“域用户”桌面文件夹，这一部分虽然简单，但对于大多数用户来说，仍然显得复杂。

（3）加入域之后，需要修改DNS，虽然不影响访问外网，但用户习惯设置公网的DNS。

由于有以上问题存在，并且加入用户只是使用服务器提供的“共享文件夹”，工作站是否加入到域并不是最重要的，只要每个用户记住自己的用户名及密码，访问服务器提供的共享文件夹是不影响使用的。至此，问题算是解决，但由此引来另一个问题，就是“没有加入域的计算机，这些用户怎么才能修改自己的域用户密码”？为了解决这个问题，我搭建了如下的实验环境，尝试解决。实验拓扑非常简单，一台升级到Active Directory的Windows Server 2008 R2（单网卡，单IP），另一台是没有加入到域的Windows XP，网络拓扑如图1-1所示。

图1-1 实验环境

如果要在非域环境中，修改域用户密码，我能想到的方法有以下这些：

（1）如果网络中有一台Exchange服务器，在Exchange的OWA中，有通过Web页面修改密码的选项。但为了这么一个网络，再部署一台Exchange，成本较高。

（2）在服务器上做个网站，与Active Directory集成，做个修改密码的脚本或网页。但这需要懂

（2）将服务器配置为“单网卡”VPN服务器，没有加入到域的计算机，创建一个VPN链接，拨号到VPN服务器，第一次登录VPN服务器时，修改用户密码。

（3）将服务器启用“远程桌面”，让用户使用“远程桌面连接”程序连接到服务器，在第一次登录时，更改密码。

下面分别介绍这两种方法。

1 配置VPN服务器修改密码

在大多数的情况下，VPN服务器需要至少2个网卡。而在Windows Server中，可以配置单网卡的VPN服务器，本节就会配置一个单网卡的VPN服务器，以实现通过VPN拨号连接成功之后，利用Active Directory帐户中“用户下次登录必须更改密码”的设置，实现拨号成功之后立即更改密码，实现非域用户更改密码的要求。下面的操作是在Active Directory服务器上配置，主要步骤如下。

（1）以管理员方式登录Active Directory服务器，在“管理工具”中执行“路由和远程访问”，右击“计算机名称”，在弹出的快捷菜单中选择“配置并启用路由和远程访问”，如图1-2所示。

图1-2配置并启用路由和远程访问

（2）在“配置”对话框选择“自定义配置”，如图1-3所示。

图1-3自定义配置

（3）在“自定义配置”对话框中选择“VPN访问”，如图1-4所示。

图1-4选择VPN访问

（4）在“正在完成路由和远程访问服务器安装向导”对话框，单击“完成”按钮，在弹出的“启动服务”对话框中单击“启动服务”按钮，如图1-5所示。

图1-5启动服务

经过上述配置，VPN服务器已经配置完成。然后在“Active Directory用户和计算机”中，为每个员工创建一个用户，允许用户拨入，并修改用户属性，主要步骤如下。

（1）在创建用户后，右击帐户，选择“属性”，如图1-6所示。

图1-6帐户属性

（2）在“拨入”选项卡中，在“网络访问权限”选项组中，选择“允许访问”，如图1-7所示。

图1-7拨入属性

（3）在“帐户”选项卡中，在“帐户选项”中选择“用户下次登录时须更改密码”，如图1-8所示，然后单击“确定”按钮。

图1-8用户下次登录时须更改密码

2 在客户端使用VPN方式更改密码

在没有加入到域的客户端，员工创建VPN拨号连接，并使用管理员为自己创建的帐户并使用初始密码登录，在登录成功之后即弹出更改密码的选项，主要步骤如下（以操作系统是Windows XP为例）。

（1）打开“网络连接”，双击“新建连接向导”，如图1-9所示。

图1-9新建连接向导

（2）在“网络连接类型”选择“连接到我的工作场所的网络”，如图1-10所示。

图1-10连接到我的工作场所的网络

（3）在“网络连接”对话框中选择“虚拟专用网络连接”，如图1-11所示。

图1-11虚拟专用网络连接

（4）在“VPN服务器选择”对话框中，输入网络中Active Directory服务器地址（同时也是VPN服务器地址），在本示例中为192.168.10.10，如图1-12所示。

图1-12指定VPN服务器地址

（5）在“正在完成新建连接向导”对话框中单击“完成”按钮，如图1-13所示。

图1-13创建VPN连接完成

在创建VPN连接之后，弹出“连接xx”对话框，输入用户名密码（如图1-14所示），在此对话框中，用户名即是管理员为每个职工创建的用户名，密码则为初始密码（在管理员创建帐户时，会为每个员工创建统一的初始密码）。

图1-14输入用户及密码

之后会拨叫到VPN服务器，在验证用户名及密码，并拨号成功之后，会弹出“更改密码”的对话框，如图1-15所示，在此对话框中，员工需要为自己的帐户设置新的密码，如图1-15所示。

图1-15更改密码

【说明】如果在图1-8中，帐户属性中没有选中“用户下次登录时须更改密码”单选按钮，则不会在图1-15中弹出“更改密码”提示，而是直接拨号成功。

在拨号成功之后，右击单击右下角的计算机图标，打开VPN状态，单击“断开”按钮，断开到VPN服务器的连接，至此通过VPN的方式更改密码完成。

3为服务器启用远程桌面

除了通过配置VPN服务器的方式外，还可以通过配置“远程桌面”的方式，利用图1-8设置中“用户下次登录时须更改密码”的要求，让首次登录的用户修改密码的方式，实现帐户密码的修改。首先在服务器上启用“远程桌面”功能。

（1）右击“我的电脑”选择“属性”，在左侧选择“远程设置”，如图1-16所示。

图1-16远程设置

（2）在“系统属性”对话框中，在“远程”选项卡中，在“远程桌面”选项中选择“允许运行任意版本远程桌面的计算机连接”，如图1-17所示。

图1-17启用远程桌面

服务器上其他的安全属性不需要修改。

4在工作站端使用远程桌面连接

在工作站端，用户需要使用“远程桌面连接客户端”，通过登录服务器完成初始密码的修改，主要步骤如下。

（1）职工在自己的计算机上，打开“运行”对话框，输入mstsc并按回车键，如图1-18所示。

图1-18 运行

（2）在“计算机”文本框中输入服务器的地址，在此为192.168.10.10，如图1-19所示。

图1-19 输入服务器的地址

（3）在登录到远程桌面后，选择“其他用户”，如图1-20所示。

图1-20其他用户

（4）之后输入管理员为职工创建的帐号，并输入初始密码，按回车键，如图1-21所示。

图1-21 输入帐户及密码登录

（5）在登录成功之后，会弹出“用户首次登录之前必须更改密码”的提示，如图1-22所示，单击“确定”按钮。

图1-22 用户首次登录之前必须更改密码

（6）随后弹出更改密码的对话框，其中第一行是帐户，第二行是初始密码（已经默认输入），职工需要在第三、第四行输入新的密码，之后按回车键即可，如图1-23所示。

图1-23输入新密码

（7）至此已经完成密码的修改，如图1-24所示。

图1-24密码己更改

但随后会弹出错误提示，用户不能登录到这台计算机，因为在域控制器策略中，普通的域用户不能登录到服务器，如图1-25所示，但我们已经完成了用户密码的修改，用户单击“确定”按钮，或单击右上角的“X”按钮，关闭并退出远程桌面连接。

图1-25 用户不能登录

5用户再次更改密码的方法

如果用户在更改密码之后，不慎忘记密码，管理员可以为用户“重置密码”，为用户再次设置一个比较简单的密码，或者仍然设置为统一的初始密码，并选中“用户下次登录时须更改密码”选项，主要步骤如下。

（1）在“Active Directory用户和计算机”中，右击选中要重新设置密码的帐户，在弹出的右键菜单中选择“重置密码”，如图1-26所示。

图1-26重置密码

（2）在弹出的“重置密码”对话框中，为用户设置新的密码，并选中“用户下次登录时须更改密码”选项，如图1-27所示，这样将为用户重置密码，用户使用上述的两种方法其中的一种，即可以重新设置自己的密码。