C windows explorer exe shell 2559a1f2 21d7 11d4 bdaf 00c04f60b9f0

Одной из хороших привычек любого пользователя ПК, а тем более системного администратора, является периодическая смена паролей учетных записей. Главное потом его не забыть.

Как сменить пароль на удаленном рабочем столе:

• Как сменить пароль в ОС Windows Server 2008
• Как сменить пароль в OC Windows Server 2012 и Windows Server 2012 R2
• Как сменить пароль в ОС Windows Server 2016
• Как альтернативно сменить пароль в ОС Windows Server 2016
• Как сменить пароль на удаленном компьютере с помощью комбинации CTRL + ALT + END
• Как сменить пароль на удаленном компьютере с помощью экранной клавиатуры
• Как вызвать окно смены пароля в RDP сессии через VBS-скрипт или PowerShell
• Как сменить пароль с помощью ярлыка расширения оболочки Windows Explorer
• Как сменить пароль через Remote Desktop Web Access
• Как сменить пароль с помощью RDP при ошибке из-за CredSSP, NLA
• Как сменить пароль с помощью специального RDP-файла

Смена пароля в ОС Windows Server 2008

Смена пароля в ОС Windows Server 2012 и Windows Server 2012 R2

Далее все привычно.

Смена пароля в ОС Windows Server 2016

Альтернативный способ

Как сменить пароль на удаленном компьютере с помощью комбинации CTRL + ALT + END.

Для получения комбинации CTRL + ALT + DEL на удаленном компьютере, нужно нажать CTRL + ALT + END.
Нажатие этой комбинации откроет нам диалоговое окно, в котором нам нужно будет выбрать «Изменить пароль»:

Для смены пароля нам нужно будет указать некоторые данные:

Смена пароля на удаленном рабочем столе с помощью экранной клавиатуры.

При удаленном подключении к рабочему столу, пароль можно сменить с помощью использования экранной клавиатуры.
Чтобы вызвать экранную клавиатуру введите в меню «Пуск» «Экранная клавиатура» или же «OSK».

После того, как появится экранная клавиатура, зажмите клавиши ALT + CTRL и с помощью мыши нажмите кнопку Del.

У вас вылезет диалоговое окно, в котором вам вам нужно будет выбрать «Сменить пароль»:

Для смены пароля нам нужно будет указать: имя пользователя, старый пароль и два раза повторить новый пароль.

Вызов окна смены пароля в RDP сессии через VBS-скрипт или PowerShell.

Чтобы вызвать окно смены пароля с помощью VBS-скрипта, создайте файл WindowsSecurity.vbs и введите туда данные строчки кода:
set objShell = CreateObject("shell.application")
objshell.WindowsSecurity
После чего, после двойного щелчка по данному VBS-скрипту, перед вами откроется диалоговое окно, в котором нам нужно будет выбрать «Сменить пароль»:

Для смены пароля нам нужно будет указать: имя пользователя, старый пароль и два раза повторить новый пароль.

Также чтобы открыть окно смены пароля с помощью PowerShell, откройте сам PowerShell с помощью меню «Пуск» и воспользуйтесь командой:
New-Object -COM Shell.Application).WindowsSecurity()

После чего, перед вами откроется диалоговое окно, в котором нам нужно будет выбрать «Сменить пароль»:

Для смены пароля нам нужно будет указать: имя пользователя, старый пароль и два раза повторить новый пароль.

Чтобы открыть диалоговое окно со сменой пароля, можно создать ярлык со ссылкой на расширение оболочки Windows Explorer.

Для начала создаем ярлык и указываем данный путь для него:
C:Windowsexplorer.exe shell:::{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}

Далее выбираем название для ярлыка и создаем его:

После двойного щелчка по данному ярлыка, перед вами откроется диалоговое окно, в котором нам нужно будет выбрать «Сменить пароль»:

Для смены пароля нам нужно будет указать: имя пользователя, старый пароль и два раза повторить новый пароль.

Cмена пароля через Remote Desktop Web Access

В Windows Server 2012 /R2 и выше у удаленных пользователей с правами Remote Desktop Web Access появилась возможность самостоятельно сбрасывать свой пароль через специальную веб-страницу на сервере Remote Desktop Web Access.
Функционал удаленной смены пароля доступен на сервере с ролью Remote Desktop Web Access, но по-умолчанию эта функция отключена.
Чтобы включить данную функцию:
Открываем консоль управления сервером IIS Manager и переходим в [Name of your Server] – Sites – Default Web Site – RDWeb – Pages и открываем раздел Application Settings.

В правой панели выбираем параметр с именем PasswordChangeEnabled и меняем его значение на true.

Чтобы проверить доступность страницы смены пароля, переходим по: https://[RD-WEB-1]/RDWeb/Pages/en-US/password.aspx
Важно! Если у вас русская версия Windows Server путь к файлу password.aspx будет отличаться и выглядеть так:
C:WindowsWebRDWebPagesru-RU.

После успешной смены пароля пользователя должно появится сообщение:

Your password has been successfully changed.

СredSSP, NLA и смена пароля через RDP

Credential Security Support Provider (CredSSP) — протокол для передачи учетных данных, который используется при RDP для защиты DDoS атак и несанкционированного исполнения процессов.

Network Level Authentication (NLA) — это функция служб удаленных рабочих стол, которая требует, чтобы подключающийся пользователь аутентифицировал себя до установления сеанса с сервером.

Есть одна важная особенность, касающаяся смены истекшего пароля пользователя по RDP, связанная с опцией Network Level Authentication (NLA) и протоколом Credential Security Support Provider (CredSSP). По умолчанию CredSSP с NLA для RDP включен во всех версиях Windows, начиная с Windows Server 2012/Windows 8. NLA обеспечивают защиту RDP сервера за счет выполнения аутентификации пользователя до установки RDP сеанса с сервером.

Если у пользователя истек пароль, или администратор AD пользователя включил ему опцию «userAccountControl» — Требовать смену пароля при первом входе в систему, то при входе в систему по RDP появится ошибка:

Remote Desktop Connection
You must change your password before logging on the first time. Please update your password or contact your system administrator or technical support.

или

Подключение к удаленному рабочему столу
Перед первым входом в систему необходимо сменить пароль. Обновите пароль либо обратитесь к вашему системному администратору или в службу технической поддержки.
Подключение к удаленному рабочему столу Перед первым входом в систему необходимо сменить пароль

Как результат — пользователь не сможет подключиться к RDP серверу и сменить пароль.

В этом случае, чтобы пользователь мог самостоятельно сменить пароль, можно:

1)Настроить Remote Desktop Web Acces (RDWA) со страницей смены пароля как в данной части инструкции : Смена пароля через Remote Desktop Web Access

2)Создать отдельный сервер для смены паролей пользователей. На данном сервере нужно отключить функцию NLA. В этом случае пользователи смогу сменить пароль.

3)Пользователь может изменить свой пароль удаленно через PowerShell — как показано в данной части инструкции Как вызвать окно смены пароля в RDP сессии через VBS-скрипт или PowerShell

Смена пароля на удаленном рабочем столе с помощью специального RDP-файла:

Если ситуация требует того, чтобы пользователь изменил пароль с помощью RDP-файла, то это потребует некоторого изменения уровня безопасности настроек протокола RDP на стороне RDP сервера и подготовки специального RDP-файла на стороне клиента.

Сначала на клиентской стороне откроем mstsc.exe.
В меню пуск вводим «mstsc» и выбираем «Подключение к удаленном рабочему столу»:

Далее настраиваем все нужные параметры для подключения к серверу.
Нажимаем «Показать больше», вводим туда IP-адресс нашего удаленного компьютера и имя пользователя, затем, используя кнопку Сохранить как, создаем RDP-файл:

После этого откроем RDP-файл с помощью текстового редактора и добавим в конце файла строку:
enablecredsspsupport:i:0

Пояснение: Добавление данного параметра в свойствах RDP-подключения позволит клиенту успешно установить RDP-сессию с удалённой системой и сменить пароль до получения доступа к удалённому рабочему столу. Однако этот параметр понизит уровень безопасности RDP-подключения, так как клиент не сможет использовать проверку подлинности на уровне сети — Network Level Authentication (NLA), которую мы описывали выше в нашей статье.

Если NLA включен — то пользователь не сможет подключиться и получит соответствующую ошибку:

Исправить эту ошибку можно только понизив уровень безопасности RDP на стороне RDS сервера, отключив обязательное требование проверки подлинности на уровне сети (NLA).

Важно!

Не рекомендуем делать этого, если ваш удаленный компьютер может быть подвергнут DDoS-атакам и несанкционированным процессам.

Чтобы изменить эту настройку, на удаленном компьютере, в меню пуск вводим «Панель управления»:

Затем переходим в «Система и безопасность»:

Затем переходим в «Система»:

Открываем окно, которое появилось, на весь экран и выбираем «Дополнительные параметры системы»: «Разрешить подключения только с…» :

У нас появится окно с «Свойствами системы», перейдем в часть с «Удаленным доступом» и уберем галочку с пункта «Разрешить подключения только с…», затем нажмем «Применить» и «ОК»:

После того, как мы отключили функцию NLA на стороне RDS сервера, клиент с помощью специального RDP-файла, может успешно установить RDP-сессию и уже в ней сменить пароль:

После этого вы сможете подключаться с новым паролем.

Таким образом, мы рассмотрели все возможные способы смены пароля учетной записи по RDP.

Microsoft Windows Shell — интерпретатор команд операционной системы, обеспечивающий интерфейс для взаимодействия пользователя с функциями системы. Позволяет получить доступ к диалоговым окнам, к файловой системе, запускать программы и изменять системные настройки.

Для быстрого перехода к компонентам Windows используется команда shell.

GUID (Globally Unique Identifier) — уникальный 128-битный идентификатор. Использование GUID гарантирует, что две версии одного компонента могут иметь одно и то же имя, но быть отличимыми по GUID.

Microsoft применяет GUID в качестве идентификаторов для большого количества своих объектов. Зная GUID можно открыть многие компоненты Windows: элементы Панели управления, системные папки, различные программы и настройки.

Для запуска любого из объектов Windows, используя {GUID}, применяется команда:

Shell:::{GUID}

где {GUID} — идентификатор {GUID} нужного Вам объекта.

В качестве примера, ниже показаны несколько способов запуска Панели управления.

Способ 1

Нажмите сочетание клавиш + R и в открывшемся окне Выполнить скопируйте и вставьте команду:

Shell:::{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}

Нажмите кнопку ОК, откроется окно Панель управления.

Способ 2

Нажмите сочетание клавиш + S откроется боковая панель поиска, в строку поиска скопируйте и вставьте команду:

Shell:::{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}

И нажмите клавишу Enter ↵ откроется окно Панель управления.

Способ 3

Нажмите сочетание клавиш + E откроется окно Этот компьютер (проводник), и в адресную строку проводника введите или вставьте заранее скопированную команду:

Shell:::{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}

Нажмите клавишу Enter ↵, запустится окно Панель управления.

Вы можете поискать нужные Вам {GUID} в разделе реестра HKEY_CLASSES_ROOT\CLSID или воспользоваться таблицей №1.

Таблица №1.

Для некоторых системных папок, Вы можете создать их копии, в любом, необходимом для Вас месте. Такие папки не будут занимать место на диске, а будут служить символическими ссылками на оригинальные. Для создания такой папки-ссылки:

1) Создайте в любом нужном Вам месте новую папку (Щелчок правой кнопкой мыши → Создать → Папку)
2) Переименуйте её следующим образом:

Все задачи — All Tasks.{ED7BA470-8E54-465E-825C-99712043E01C}
Администрирование — Administrative Tools.{D20EA4E1-3957-11d2-A40B-0C5020524153}
Библиотеки — Libraries.{031E4825-7B94-4dc3-B131-E946B44C8DD5}
Компьютер — Computer.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
Корзина — Recycle Bin.{645FF040-5081-101B-9F08-00AA002F954E}
Персонализация — Personalize.{ED834ED6-4B5A-4bfe-8F11-A626DCB6A921}
Принтеры — Printers and Faxes.{2227A280-3AEA-1069-A2DE-08002B30309D}
Программы — Programs Folder.{7BE9D83C-A729-4D97-B5A7-1B7313C39E0A}
Сетевые подключения — Network Connections.{7007ACC7-3202-11D1-AAD2-00805FC1270E}
Сеть (WORKGROUP) — Network Places.{208D2C60-3AEA-1069-A2D7-08002B30309D}
Учетные записи пользователей — User Accounts.{60632754-c523-4b62-b45c-4172da012619}

Принцип запуска команд Shell, используя имя объектов, намного легче. Данный способ не требует от Вас знания большого количества цифр и букв, и позволяет снизить величину ошибок при наборе команды. Его основное применение — открытие системных папок.

Например, для быстрого перехода в папку Панели Быстрого Запуска, которая присутствует в Windows, но не добавлена на Панель Задач, достаточно написать команду shell:Quick Launch. При выполнении команды в Проводнике будет открыта папка:
.

C:\Users\%UserName%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch

Для запуска любого из объектов Windows, используя его имя, применяется команда:

Shell:Имя объекта

Вы можете найти нужные Вам имена объектов в разделах ветки реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\FolderDescriptions

Также можно воспользоваться таблицей №2.

Таблица №2.

Чтобы создать ярлык, используя названия или {GUID} команды Windows Shell, в поле Укажите расположение объекта введите:

%windir%\explorer.exe Shell:::{GUID}

или.

explorer.exe /e,::{GUID}

или.

%windir%\explorer.exe shell:Название_объекта

Например, для создания ярлыка папки Этот Компьютер, на рабочем столе нажмите правую кнопку мыши, в контекстном меню выберите Создать > Ярлык.

В поле Укажите расположение объекта введите:

%windir%\explorer.exe Shell:::{20D04FE0-3AEA-1069-A2D8-08002B30309D}

или.

%windir%\explorer.exe shell:MyComputerFolder

Нажмите кнопку Далее.

В следующем окне в строке Введите имя ярлыка: наберите к примеру FileExplorer и нажмите кнопку Готово.

В результате на рабочем столе появится ярлык FileExplorer , при запуске которого будет открыто окно Этот компьютер.

При использовании удалённого подключения к операционным системам Microsoft Windows/Windows Server по протоколу RDP в некоторых случаях может возникать потребность в смене пароля учётной записи пользователя. При этом инициатором смены пароля в разных ситуациях может выступать как сам пользователь, так и администратор Windows-системы. В  некоторых сценариях может получиться так, что, казалось бы, несложная задача смены пароля может стать не такой уж и простой. Поэтому в данной записи я попробую собрать информацию о самых разнообразных способах смены пароля учётной записи пользователя в RDP-сессии.

Способ №1 — «Горячие» клавиши

В случае, если пользователю Windows необходимо самостоятельно изменить пароль своей учётной записи, то в стандартной Windows-сессии пользователем может использоваться всем известное сочетание «горячих» клавиш Ctrl-Alt-Del. Это сочетание клавиш вызывает специальный экран Безопасности Windows (Windows Security), с которого доступна функция изменения пароля:

Если же речь заходит об использовании горячих клавиш в RDP-сессиях, то стоит заметить то, что во избежание перехвата некоторых сочетаний клавиш локальной клиентской системой (системой, с которой запускается RDP-клиент), перенаправление сочетаний клавиш Windows должно быть явно разрешено в свойствах RDP-клиента. Например в клиенте mstsc.exe, встроенном в Windows, данную опцию можно включить на закладке управления локальными ресурсам.

В стандартной первичной RDP-сессии для вызова специального экрана Безопасности Windows с функцией изменения пароля используется сочетание клавиш: Ctrl—Alt—End

В случае использования вложенных RDP-сессий (второго и последующего уровней), то есть когда из одной RDP-сессии открывается другая RDP-сессия, стандартное сочетание клавиш работать не будет. В разных источниках в интернете можно найти информацию об использовании более сложных сочетаний клавиш, таких как Ctrl—Alt—Shift-End или Shift-Ctrl-Alt-End. Однако мои эксперименты с Windows 10/Windows Server 2012 R2 показали, что данные сочетания клавиш попросту не работают (возможно они работали в ранних версиях ОС Windows). В этом случае на выручку нам может прийти следующий способ.

Способ №2 — Экранная клавиатура

В составе Windows имеется приложение «Экранная клавиатура» (On-Screen Keyboard), расположенное по умолчанию в %SystemRoot%System32osk.exe. Используя это приложение, мы можем решить проблему использования «горячих» клавиш во вложенных RDP-сессиях.

Находясь во вложенной RDP-сессии, вызовем окно запуска приложений. Вызвать его можно разными способами, например, через контекстное меню по кнопке Windows, или через Диспетчер задач (Task Manager):

Либо можно использовать сочетание клавиш Win-R.

В окне запуска приложений выполним запуск исполняемого файла osk.exe

После того, как откроется приложение «Экранная клавиатура», нажмём на физической клавиатуре сочетание клавиш Ctrl—Alt, так, чтобы это отобразилось на экранной клавиатуре и затем, удерживая это сочетание клавиш, на экранной клавиатуре мышкой нажмём кнопку Del.

Таким образом мы отправим в удалённую RDP-сессию сочетание клавиш Ctrl-Alt-Del, в следствие чего откроется специальный экран Безопасности Windows с функцией изменений пароля пользователя.

Способ №3 – Ярлык на VBS-скрипт или Powershell

Вызов экрана Безопасности Windows можно выполнить не только интерактивными способами, но и программными, например, с помощью скриптов.

Создадим VBS-скрипт, например, с именем Windows Security.vbs. Наполним скрипт следующим содержимым:

Set objShell = CreateObject("Shell.Application")
objShell.WindowsSecurity

Разместим скрипт в месте, доступном на чтение (но не для редактирования) для всех пользователей удалённого рабочего стола, например в каталоге %SystemRoot% (C:Windows). А ярлык на запуск скрипта можно разместить в любом доступном пользователям месте, например, в каталоге общего профиля %SystemDrive%UsersPublicDesktop

При запуске данного ярлыка у пользователя будет открываться экран Безопасности Windows с возможностью изменения пароля.

Для любителей PowerShell приведённый VBS-скрипт можно заменить PS-скриптом следующего вида:

$ShellObject = New-Object -ComObject Shell.Application
$ShellObject.WindowsSecurity()

Либо запускать из ярлыка команду вида:

C:WindowsSystem32WindowsPowerShellv1.0powershell.exe -noprofile -nologo -noninteractive -command "(new-object -ComObject shell.application).WindowsSecurity()"

Однако стоит отметить тот факт, что запуск варианта с PowerShell будет происходить медленней, чем варианта с VBS-скриптом.

Описанные здесь способы с запуском ярлыка, ссылающегося на скрипт, может попросту не сработать, так как в некоторых окружениях серверов служб удалённых рабочих столов может быть заблокирована возможность выполнения скриптов. В таком случае, можно воспользоваться следующим способом.

Способ №4 – Ярлык оболочки Windows Explorer

Если говорить о создании ярлыка запуска экрана Безопасности Windows, то имеется ещё один вариант создания такого ярлыка. Создаётся ярлык со ссылкой на расширение оболочки Windows Explorer следующего вида:

C:Windowsexplorer.exe shell:::{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}

Опять же, при запуске такого ярлыка у пользователя будет открываться экран Безопасности Windows с возможностью изменения пароля. Этот способ одинаково хорошо работает на Windows 10 и на Windows Server 2012 R2.

Способ №5 – Панель управления Windows (локальные учётные записи)

Данный способ относится лишь к локальным учётным записям пользователей. Изменить пароль учётной записи рядового локального пользователя можно через Панель управления Windows. В Windows 10 из раздела Панели управления «Учётные записи пользователей» доступен вызов окна «Параметры компьютера«, в котором имеется функция изменения пароля текущего локального пользователя.

Такие методы вызова апплета управления учётными записями пользователей Панели управления Windows, как, например команда «control userpasswords2«, в качестве отдельного способа мы выделять не будем, так как подобные действия требуют административных прав в удалённой системе. То же самое касается и таких CLI-утилит Windows, как net.exe (%SystemRoot%System32net.exe) (пример команды «net user username newpassword«), так как они тоже требуют повышения уровня прав пользователя.

Ремарка

Отдельно хочется отметить обстоятельство, про которое порой забывают администраторы, и это может приводить к разным курьёзным ситуациям.

Попытки смены пароля, инициированные самим пользователем, могут оказаться безуспешными в случае, если пароль был недавно изменён и на удалённую Windows систему действует политика безопасности, определяющая минимальный срок действия пароля.

Как правило, это настраивается на уровне стандартных доменных групповых политик Active Directory и/или механизмов Password Settings objects (PSOs).

Повторюсь, что повлиять на ситуацию эта политика может только в случаях, когда пользователь самостоятельно инициирует процедуру смены пароля.

Далее мы поговорим о сценарии, при котором требование смены пароля включается для учётной записи пользователя форсировано администратором сервера (для локальных учётных записей), либо администратором службы каталогов Active Directory (для доменных учётных записей).

Практика показывает, что как только администратором включено требование смены пароля пользователя при следующем входе в систему, у пользователя могут возникнуть проблемы с подключением по протоколу RDP, если на стороне RDS сервера (а в некоторых случаях и на стороне RDS клиента) предварительно не предпринято никаких действий по специальной настройке обработки таких ситуаций. Далее мы рассмотрим пару примеров такой настройки.

Способ №6 — Remote Desktop Web Access

Клиентский доступ к службам Windows Server RDS может быть организован через веб-интерфейс серверной роли Remote Desktop Web Access (RDWA). В функционале этой роли имеется выключенная по умолчанию возможность смены пароля пользователя в процессе аутентификации на веб-странице RDWA.

Сразу стоит отметить то, что данный способ смены пароля будет доступен только в том случае, если на веб-узлах RDWA используется аутентификация на основе формы (Forms Authentication), а этот тип аутентификации несовместим с типом Windows Authentication, о подключении которого мы говорили ранее.

Чтобы включить данную возможность в Windows Server 2012/2012 R2 откроем консоль управления Internet Information Services (IIS) Manager, выберем сайт RDWA, развернём RDWeb > Pages и в разделе настроек ASP.NET выберем настройку опций веб-приложения Application Settings:

В перечне опций находим PasswordChangeEnabled и меняем установленное по умолчанию значение false на true:

Если серверов RDWA несколько и они работают в пуле за балансировщиком, например Windows NLB, то не забываем выполнить данное изменение на всех других серверах пула.

Теперь попытаемся от имени пользователя, у которого в свойствах учётной записи установлено требование смены пароля при следующем входе, аутентифицироваться на веб-странице RDWA:

После ввода учётных данных пользователя появится сообщение о том, что пароль пользователя требует замены и ссылка на страницу с функцией смены пароля (https://<RDWA FQDN>/RDWeb/Pages/ru-RU/password.aspx):

На этой отдельной странице пользователь сможет ввести свои текущие учётные данные и новый пароль:

В случае успешной смены пароля пользователь получит соответствующее сообщение:

При необходимости ссылку на страницу смены пароля можно сделать доступной не только тем пользователям, у которых после аутентификации возникает требование смены пароля, но и всем остальным пользователям, чтобы они могли самостоятельно выполнять смену пароля по собственной инициативе через веб-страницу RDWA. Для этого можно будет внедрить ссылку на страницу password.aspx на странице входа login.aspx (по умолчанию страницы расположены в каталоге %windir%WebRDWebPagesru-RU)

Если же говорить про Windows Server 2008 R2, то в этой ОС для использования функции смены пароля в RDWA может потребоваться установка обновления KB2648402 — You cannot change an expired user account password in a remote desktop session that connects to a Windows Server 2008 R2-based RD Session Host server in a VDI environment.

Способ №7 – Специальный RDP-файл

Если пользователь выполняет подключение к удалённому рабочему столу на базе Windows Server 2012/2012 R2 через прямой запуск стандартного клиента mstsc.exe, то в ситуации с включенным признаком требования смены пароля, попытка подключения может быть завершена с ошибкой «You must change your password before logging on the first time. Please update your password or contact your system administrator or technical support«.

Если ситуация требует того, чтобы пользователь самостоятельно изменил свой пароль при первом входе в систему, то это потребует некоторого изменения уровня безопасности настроек протокола RDP на стороне RDS сервера и подготовки специального RDP-файла на стороне клиента.  

Сначала на клиентской стороне откроем mstsc.exe, настроим все нужные параметры подключения к серверу RDS и используя кнопку Сохранить как, создадим RDP-файл.

После этого откроем RDP-файл в текстовом редакторе и добавим в конец файла строку «enablecredsspsupport:i:0«

Добавление данного параметра в свойствах RDP-подключения позволит клиенту успешно установить RDP-сессию с удалённой системой и сменить пароль до получения доступа к удалённому рабочему столу. Однако этот параметр понизит уровень безопасности RDP-подключения, так как клиент не сможет использовать проверку подлинности на уровне сети — Network Level Authentication (NLA). И если на стороне RDS сервера включена обязательная проверка NLA, то пользователь всё равно не сможет подключиться и получит соответствующую ошибку «The remote computer requires Network Level Authentication, which your computer does not support…«.

Разрешить эту ситуацию можно только понизив уровень безопасности RDP на стороне RDS сервера, отключив обязательное требование проверки подлинности на уровне сети (NLA). Изменить эту настройку можно в свойствах системы на закладке Удалённый доступ:

В английской версии Windows название опции звучит как «Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended)»

Если NLA нужно отключить на уровне коллекции серверов Windows Server 2012 R2, то сделать этом можно в свойствах коллекции сеансов, например через оснастку Server Manager:

После того, как отключено требование NLA на стороне RDS сервера, клиент с помощью специального RDP-файла, о котором мы сказали выше, должен успешно установить RDP-сессию и уже в ней получить сообщение о необходимости смены пароля:

И после этого пользователю будет показан экран, на котором он сможет задать новый пароль:

После успешной смены пароля последующие подключения по протоколу RDP будут проходить в штатном режиме без лишних запросов.

Заключение

Приведённый здесь перечень способов смены пароля при использовании протокола RDP не претендует на какую-то полноту и исключительность, а лишь отражает ту информацию, которую мне удалось найти в разных источниках по этому поводу. На мой взгляд, ни один из перечисленных способов нельзя считать наиболее удобным или универсальным, так как каждый из способов может применяться в определённых ограниченных сценариях и имеет, как преимущества, так и недостатки по сравнению с другими способами.

Дополнительные источники информации:

• TechNet Forums  — RDP Message: You must change your password before logging on the first time. Please update your password or contact …
• Freek Berson — Password change option also available in RD Web Access on Windows Server 2008 R2
• TechNet Wiki — Windows Server 2012 RDS: Enabling the RD WebAccess Expired password reset option

Благодаря оснастке «Выполнить» в ОС от Microsoft можно практически моментально запускать многие стандартные приложения и системные процессы посредством ввода специальных команд. Сегодня расскажем обо всех возможных вариантах ее вызова в Windows 10.

В предыдущих версиях Windows проще, да и быстрее всего вызвать окно быстрого запуска «Выполнить» можно было через меню «Пуск», но этот способ никогда не был единственным. Рассмотрим те из них, которые актуальны для десятой версии операционной системы, после чего вы сможете выбрать наиболее подходящий для себя или же пойти альтернативным путем.

Способ 1: Поиск по системе

Одним из новшеств Windows 10 стала функция поиска, вызвать которую можно как с панели задач, так и с помощью горячих клавиш. Использовать ее можно не только для быстрого нахождения файлов и папок, но и для запуска приложений и компонентов системы. К числу таковых относится и интересующая нас оснастка «Выполнить».

Воспользуйтесь иконкой поиска на панели задач или клавишами «WINDOWS+S» и начните вводить наименование искомого компонента – Выполнить. Как только увидите его в результатах выдачи, щелкните по этой строке левой кнопкой мышки (ЛКМ) для запуска.

Читайте также: Как искать файлы в Виндовс 10

Способ 2: «Проводник»

Существует еще один завязанный на функции поиска метод вызова окна «Выполнить», правда, назвать его удобным точно нельзя. Искать в этом случае потребуется не в специально предназначенном для этого разделе операционной системы, а в интегрированном в нее файловом менеджере.

Предварительно вызвав «Проводник» (например, клавишами «WINDOWS+E»), перейдите на его боковой панели в раздел «Этот компьютер». Введите в поисковую строку выполнить, нажмите «ENTER» и дождитесь, пока будет найдена оснастка. Так как запрос может являться еще и частью имени файлов и папок на диске, результатов выдачи наверняка будет более одного, а потому просто найдите в нем ярлык приложения и запустите его нажатием ЛКМ.

Читайте также: Как открыть «Проводник» в Виндовс 10

Способ 3: «Пуск»

Несмотря на то что внешний вид стартового меню «десятки» был полностью переработан, окно «Выполнить» из него никуда не делось. Правда, находится оно теперь далеко не на самом очевидном месте.

Вызовите «Пуск», нажав ЛКМ по его значку или воспользовавшись клавишей «WINDOWS» на клавиатуре, пролистайте список представленных в этом меню элементов практически в самый низ и кликните по папке «Служебные — Windows» для ее открытия. Запустите искомый компонент системы.

Способ 4: Меню дополнительных действий

Помимо более привлекательного, пусть и далеко не для всех удобного интерфейса, «Пуск» в Windows 10 обзавелся еще и меню дополнительных действий, с помощью которого можно буквально в два клика открывать наиболее необходимые компоненты системы. Просто нажмите по этому значку правой кнопкой мышки (ПКМ) или воспользуйтесь горячими клавишами «WINDOWS+X» и выберите в появившемся списке интересующий нас пункт.

Способ 5: «Командная строка»

Многие пользователи предпочитают вызывать «Командную строку» через окно «Выполнить», но для решения нашей сегодняшней задачи можно пойти противоположным путем.

Любым удобным способом откройте консоль (например, через рассмотренное выше меню дополнительных действий кнопки «Пуск»), введите в нее указанную ниже команду и нажмите «ENTER», после чего незамедлительно будет запущена оснастка.

%windir%explorer.exe shell:::{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}

Читайте также: Как открыть «Командную строку» в Виндовс 10

Способ 6: «Диспетчер задач»

Данный компонент Windows 10 можно использовать не только для оценки загруженности операционной системы и остановки программ и процессов, но и для их запуска. Сам же «Диспетчер задач» можно открыть с помощью клавиш «CTRL+SHIFT+ESC».

Откройте меню «Файл» и выберите пункт «Запустить новую задачу». В появившееся окошко, которое визуально очень напоминает «Выполнить», введите ту же команду, что в случае с рассмотренной выше «Командной строкой», после чего нажмите «ОК» или «ENTER».

%windir%explorer.exe shell:::{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}

Способ 7: Комбинация клавиш

Каждый из рассмотренных выше методов запуска оснастки «Выполнить» требует от нас с вами минимум действий, но наиболее простой и удобный заключается в использовании горячих клавиш – просто нажмите «WINDOWS+R» и необходимое окошко сразу же появится перед вами.

Читайте также: Горячие клавиши для удобной работы в ОС Виндовс 10

Совет: Для запуска через оснастку «Выполнить» системных приложений с административными правами после ввода команды в его строку удерживайте клавиши «CTRL+SHIFT» и только после этого жмите «ОК» или «ENTER».

Читайте также: Как открыть «Командную строку» с правами администратора в Виндовс 10

Способ 8: Исполняемый файл

«Выполнить» хоть и является компонентом операционной системы, на деле ничем не отличается от обычного приложения. Следовательно, у него есть не только своя папка на диске, но и исполняемый файл, посредством которого осуществляется запуск. Располагается он по следующему адресу:

C:UsersUsernameAppDataRoamingMicrosoftWindowsStart MenuProgramsSystem Tools

Примечание: Вместо «Users» в пути к файлу может быть указано русскоязычное написание «Пользователи» (зависит от локализации операционной системы), а вместо «Username» необходимо вписать ваше имя пользователя.

Дополнительно: Закрепление оснастки для быстрого вызова

Если по каким-то причинам вы не считаете ни один из рассмотренных выше способов запуска «Выполнить» достаточно быстрым и удобным, но при этом необходимость в частом использовании оснастки имеется, можно и нужно закрепить ее на самом заметном месте. Таковых в Windows 10 как минимум три, и далее мы расскажем, как действовать в случае с каждым из них.

Панель задач
Для того чтобы закрепить ярлык запуска окна «Выполнить» на панели задач, сначала вызовите его любым из рассмотренных выше способов, затем кликните ПКМ по значку и выберите в появившемся контекстном меню соответствующий пункт. Далее вам останется лишь переместить ярлык в более удобное место, например, поближе к меню «Пуск».

Меню «Пуск»
Стартовое меню ОС Виндовс 10 позволяет закреплять приложения для быстрого запуска в виде плиток, что вполне можно сделать и с оснасткой «Выполнить». Для этого просто отыщите ее в «Пуске» (см. Способ 3), нажмите по ярлыку ПКМ и выберите пункт «Закрепить на начальном экране».

Рабочий стол
Если вы привыкли запускать программы с рабочего стола, разумным решением будет поместить на него и ярлык окна «Выполнить». Перейдите в папку, в которой располагается исполняемый файл рассматриваемого системного компонента (см. Способ 8), кликните ПКМ по его ярлыку, после чего последовательно воспользуйтесь пунктами контекстного меню «Отправить» — «Рабочий стол (создать ярлык)»

Заключение

Ознакомившись с этой статьей, вы узнали не только обо всех возможных способах запуска системной оснастки «Выполнить», но и о том, как закрепить или создать ее ярлык для еще более удобного и быстрого запуска.

Обновлено 24.07.2019

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз мы с вами разбирали настройку роутера Mikrotik для небольшого офиса. Сегодня я хочу отвлечься от сетевых вещей и показать вам незаменимый и порой игнорируемый новичками инструмент Windows, а именно окно «Выполнить«. Мы рассмотрим, как открыть данное окно, что полезного оно даст системному администратору и в каких ситуациях может просто спасти и поверьте, что такие случаи имеются.

Что такое окно «Выполнить»

Окно «Выполнить» или Run Windows из оригинального языка — это специальное окно, которое позволяет запускать быстрые команды Windows, запускать программы, открывать файлы, папки, ключи реестра, проще говоря практически все, что угодно. Данный инструмент создан для ускоренного получения доступа к нужным параметрам, окнам, настройкам и без использования мышки, очень полезен при траблшутинге, но об этом ниже

Сценарии использования окна «Выполнить»

Прежде, чем я вам покажу все методы открытия и практические применения, я бы хотел вам рассказать основные сценарии, которые можно рассматривать для данного окна:

1. Я помню один случай, когда после неправильной настройки сервера были внесены нерабочие сетевые настройки, в итоге сервер отвалился. Так как он был железным, то пришлось идти в серверную, к сожалению порта управления у него не было, пришлось подключать KVM, болью было то, что у него на лицевой стороне не работали USB порты, а это означало, что мышка сзади не дотягивалась. В итоге пришлось все делать без нее, и вот представьте, что происходит когда у вас лежит важный сервер, у которого вы не можете добраться до нужных настроек, но так как у меня богатый опыт работы с Windows, то я знал, как вызвать нужную мне настройку или из командной строки или из окна «Выполнить», чем я и воспользовался.
2. Второй случай, мышка у вас есть, но вот соединение до такой степени тормозное, что у вас мышка либо не успевает за вашими действиями или вообще слишком чувствительная и улетает с нужного места, в таких ситуациях умение работать с быстрыми командами окна «Выполнить» просто не заменимо. Такое легко встретить на виртуальных машинах, где не установлены драйвера интеграции.
3. Третья ситуация, это просто быстрее, что вы мышкой про щелкаете 3 и более экранов, до того пока достигните нужную вам настройку, а если взять во внимание, что это может быть либо тормозной сервер (перегруженный) или с нестабильным сетевым соединением, то вы будите тратить дополнительное время.
4. Есть вообще настройки, в которые вы можете попасть исключительно за счет быстрых команд Windows

1. Классический метод открыть окно выполнить

В какой бы версии Windows вы бы не применили данный метод, он будет всегда работать, ну разве, что кроме версии Windows Core, которая лишена графического интерфейса. И так нажимаем одновременно сочетание клавиш Windows  +R и в результате вы увидите в левом углу нужное вам окно.

Первый раз я его увидел в эпоху Windows 95, где оно выглядело вот так.

2. Вызываем окно выполнить через поиск Windows

Как всегда в Windows, использование поиска — это отличная идея, чтобы найти что угодно.

Метод для Windows 10, Windows Server 2016 и выше

Откройте значок с изображением лупы и введите «Выполнить», в результате этих действий у вас будет список из одного пункта, щелкаем по нему и открываем системное окно.

Метод для Windows 8.1, Windows Server 2012 R2

Откройте пуск, в правом верхнем углу нажмите значок с лупой.

В окне поиска вводим слово «Выполнить», где получаем результат поиска.

Метод для Windows 7, Windows Server 2008 R2

В Windows 7 вызвать окошко «Выполнить» можно открыв пуск и в строке поиска ввести соответствующее слово. Выше вы получите результаты поиска.

3. Запуск окна выполнить через командную строку

Откройте командную строку Windows и введите:

В результате вы вызовите заветное окно, можете для удобства создать себе ярлык с этим значением.

4. Как открыть окно выполнить через проводник Windows

В проводнике Windows вы можете найти уже готовый ярлык, располагается он по пути:

Если посмотреть его свойства, то вы увидите его тип «Run».

5. Запуск через меню пуска

Кнопка пуск, это специальное место объединяющее большинство настроек. функций и программ имеющихся в операционной системе. Чтобы вызвать из него диалоговое окно «Выполнить» делаем следующее:

Если у вас Windows 10 или Windows Server 2016 и выше, в пуске найдите раздел «Служебные — Windows». Раскрыв его вы найдете нужный вам пункт.

Если у вас Windows 8.1 или Windows Server 2012 R2, в пуске находим кнопку со стрелкой вниз.

Так же ищем раздел «Служебные — Windows» в котором будет ярлык на диалоговое окно «Выполнить».

Если у вас Windows 7 или Windows Server 2008 R2, в пуске нажмите «Все программы».

В разделе «Стандартные» найдите соответствующий пункт.

6. Метод для Windows 8.1 и выше

Начиная с Windows 8.1 и Windows Server 2012 R2, у кнопки пуск появилось дополнительное контекстное меню, которое можно вызвать правым кликом по нему или сочетанием клавиш Windows +X. В самом низу вы найдете пункт запускающий окно «Выполнить».

7. Использование диспетчера задач

Бывают ситуации, что у вас может зависнуть проводник Windows, и единственное что вы можете сделать это вызвать диспетчер задач, или у вас в принципе нет графического интерфейса в случае с Core версией. В такой ситуации вы легко можете выкрутится починив все через окно Windows run. Для этого в меню файл выберите пункт «Запустить новую задачу«,

которая и вызовет окно «Выполнить» и обратите внимание, что тут даже есть возможность запустить задачу в режиме администратора.

Команды диалогового окна выполнить

Команды для окна «Run Windows» аналогичны тем, что я вам описывал в статье про запуск всего в командной строке, полный список можете посмотреть по ссылке.

Приведу тут наиболее используемые:

• regedit — реестр Windows

• msinfo32 — Если вы хотите быстро получить системную информацию, то команда «msinfo32» — это то, что вам нужно. С первого взгляда он отобразит все детали системы, включая аппаратные ресурсы и программную среду.

• sdclt — эта команда открывает окно «Резервное копирование и восстановление», которое позволяет вам быстро установить расписание резервного копирования или восстановить любую из ваших предыдущих резервных копий.
• compmgmt.msc — в приложении «Управление компьютером» вы можете получить доступ практически ко всем расширенным модулям Windows, таким как «Просмотр событий», «Общая папка», «Системные инструменты»
• 
• cleanmgr — эта команда позволяет открыть утилиту очистки диска Windows.

Это лишь малая часть команд, полный список напоминаю находится по ссылке выше. На этом у меня все, мы с вами рассмотрели ситуации при которых удобно использовать окно «Выполнить», его методы запуска и список быстрых команд Windows. На этом у меня все, с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Влияние маленького окошка на память пользователя, и что с этим делать

Еще с выходом в свет Windows Vista2008 администраторы столкнулись с маленькой, но неприятной проблемой: оповещение об истечении срока действия пароля стало сиротливо появляться в самом неприметном углу экрана. И это вместо окна прямо по центру, как было раньше!

Отсюда и смена паролей в последний момент, под аккомпанемент отказов доступа; и негодование, почему вдруг перестал работать VPN, и что с этим делать в командировке. Конечно, не проблема года, но явление назойливое и неприятное. Поэтому разбираемся, как его одолеть.

Отчеты и Excel на страже памяти

В статье «Excel вместо PowerShell: запросы к AD и системные отчеты» я рассказывал, как вытащить информацию из Active Directory при помощи Excel. Благодаря этому механизму всегда можно получить отчет о сроках действия пользовательских паролей. В современных доменах для этого существует атрибут msDS-UserPasswordExpiryTimeComputed, который находится в классе user.

При помощи Power Query мы можем легко получить подобную табличку:

Отчет о сроках действия пароля в MS Excel.

Теперь, если добавить формулу вида

=ЕСЛИ([@[msDS-UserPasswordExpiryTimeComputed]]<ТДАТА();"Пароль просрочен!";ЕСЛИ([@[msDS-UserPasswordExpiryTimeComputed]]-5<ТДАТА();"Пароль скоро закончится!";"ОК"))

в соседний столбец, то мы получим таблицу уже такого вида:

Делаем отчет более наглядным.

Осталось только добавить правила раскрашивания ячеек на основе их содержимого, и будет совсем красиво:

И еще более наглядным.

При настройке автоматического обновления данных можно смотреть в таблицу и готовиться к заявкам от пользователей. Или поручить аккаунт-менеджеру (да, где-то есть такие специальные люди) обзванивать сотрудников.

Попробуем использовать в качестве аккаунт-менеджера PowerShell.

Автоматические уведомления сотрудников

По счастью, получать данные из Active Directory можно не только через Excel, но и при помощи любимых скриптовых языков вроде PowerShell.

Для начала получим список пользователей и их адресов таким запросом:

$users = Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False -and PasswordLastSet -gt 0} `
 -Properties "Name", "EmailAddress", "msDS-UserPasswordExpiryTimeComputed" | ` Select-Object -Property "Name", "EmailAddress", `
 @{Name = "PasswordExpiry"; Expression = {[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed").tolongdatestring() }}

Как видно, по этому запросу я получаю только тех пользователей, которые соответствуют трем критериям:

• Не заблокированные ― Enabled -eq $True.
• Те, у кого пароль имеет срок жизни ― PasswordNeverExpires -eq $False.
• Те, у кого вообще не установлен пароль ― PasswordLastSet -gt 0.

В результате мы получим таблицу значения с именем пользователя, его адресом и датой истечения пароля. Для удобства задаем три варианта времени предупреждения ― за 7, за 3 и за 1 день:

$SevenDayWarnDate = (get-date).adddays(7).ToLongDateString()
$ThreeDayWarnDate = (get-date).adddays(3).ToLongDateString()
$OneDayWarnDate = (get-date).adddays(1).ToLongDateString()

Теперь, сравнивая эти три переменные со значением $user.PasswordExpiry, мы сможем посылать соответствующие уведомления. Напомню, что отправка e-mail производится при помощи командлета Send-MailMessage.

Но не обязательно уведомлять пользователей исключительно по почте ― можно использовать материал «Еще не бот, но уже что-то ― получаем уведомления от Zabbix в мессенджеры» и отсылать уведомления по любому другому каналу связи.

С полным листингом скрипта, который можно запускать ежедневно при помощи планировщика, можно ознакомиться под спойлером.

Import-Module ActiveDirectory
 #Создаем пороги срабатывания уведомлений
$SevenDayWarnDate = (get-date).adddays(7).ToLongDateString()
$ThreeDayWarnDate = (get-date).adddays(3).ToLongDateString()
$OneDayWarnDate = (get-date).adddays(1).ToLongDateString()

 #Настройка текста сообщений
$MailSender = " Бот-Напоминалка <bot@domain.com>"
$Subject = 'Внимание! Срок действия Вашего пароля заканчивается'
$EmailStub1 = 'Я бот-напоминалка. Ваш пароль закончится'
$EmailStub2 = 'через'
$EmailStub3 = 'дней'
$EmailStub4 = '. Пожалуйста, заблаговременно измените свой пароль. Обратитесь в службу технической поддержки, если вы испытываете трудности со сменой пароля.'
$SMTPServer = 'smtp.domain.com'

 #Получаем пользователей
$users = Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False -and PasswordLastSet -gt 0 } `
 -Properties "Name", "EmailAddress", "msDS-UserPasswordExpiryTimeComputed" | Select-Object -Property "Name", "EmailAddress", `
 @{Name = "PasswordExpiry"; Expression = {[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed").tolongdatestring() }}

#Проверяем сроки действия и отправляем уведомления.
foreach ($user in $users) {
     if ($user.PasswordExpiry -eq $SevenDayWarnDate) {
         $days = 7
         $EmailBody = $EmailStub1, $user.name, $EmailStub2, $days, $EmailStub3, $SevenDayWarnDate, $EmailStub4 -join ' '
          Send-MailMessage -To $user.EmailAddress -From $MailSender -SmtpServer $SMTPServer -Subject $Subject -Body $EmailBody
     }

     elseif ($user.PasswordExpiry -eq $ThreeDayWarnDate) {
         $days = 3
         $EmailBody = $EmailStub1, $user.name, $EmailStub2, $days, $EmailStub3, $ThreeDayWarnDate, $EmailStub4 -join ' '
          Send-MailMessage -To $user.EmailAddress -From $MailSender -SmtpServer $SMTPServer -Subject $Subject `
         -Body $EmailBody
     }

     elseif ($user.PasswordExpiry -eq $oneDayWarnDate) {
         $days = 1
         $EmailBody = $EmailStub1, $user.name, $EmailStub2, $days, $EmailStub3, $OneDayWarnDate, $EmailStub4 -join ' '
          Send-MailMessage -To $user.EmailAddress -From $MailSender -SmtpServer $SMTPServer -Subject $Subject -Body $EmailBody
     }

    else {}
 }

Теперь пользователи предупреждены, и остается надеяться на их ответственность. Рассмотрим еще один вариант уведомления.

Уведомляем пользователей при входе

Можно вернуть на экран сообщение об истекающем сроке пароля через логон-скрипт или программу в автозагрузке. К сожалению, по понятным причинам этот вариант не подойдет для пользователей, работающих с доменными сервисами удаленно.

Приведу пример простого скрипта на PowerShell, подсунутого в автозагрузку групповыми политиками:

$user= Get-ADUser -Identity $env:username -Properties 'msDS-UserPasswordExpiryTimeComputed','PasswordNeverExpires'
if ( -not $user.'PasswordNeverExpires') {
$diff=(new-timespan -start (get-date) -end ([datetime]::FromFileTime($user."msDS-UserPasswordExpiryTimeComputed"))).Days
    if ($diff -lt 7) {
$msgBoxInput =  [System.Windows.MessageBox]::Show("Ваш пароль истекает через "+ $diff + " дней!`nПерейти к диалогу смены пароля?","Внимание!","YesNo","Warning")

switch  ($msgBoxInput) {
            'Yes' {
                cmd /c "explorer shell:::{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"
            }
            'No' {  }
}
}
}

Строка запуска explorer shell:::{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0} ― это запуск интерфейса «Безопасность Windows». После выхода Windows 2012 он исчез из меню «Пуск» и стал доступен только при нажатии Ctrl+Alt+Del или Ctrl+Alt+End в случае подключения по RDP.

Окно уведомления.
Для ценителей под спойлером старая версия скрипта.

#Include <AD.au3>
#include <Date.au3>

_AD_Open()
$array=_AD_GetPasswordInfo()

if $array[9] <> "" then
   $t=_DateDiff ( "d", _NowCalc(), $array[9] )

if $t < 7 Then
$a=MsgBox ( 4, "Внимание!", "Срок действия вашего пароля истекает через " &$t &" дней."&@crlf&"Перейти к диалогу смены пароля?" )
if $a=6 then

Run("explorer shell:::{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}")
sleep(1000)
endif
endif
endif
_AD_Close()

После внедрения этого механизма какие-либо проблемы с просроченными паролями перестали появляться.

Отсутствие домена

Если инфраструктура Active Directory у вас не развернута ― например, в случае отдельного терминального сервера, ― то решение тоже существует, пусть и чуть более сложное.

Для этого нам понадобится чуть-чуть магии WMI и любимый скриптовый язык. Вернемся к примерам на PowerShell:

#Имя компьютера.
$Computer = $env:computername
#Имя пользователя
$UserName = $env:username
#Дельта в днях
$Days = 2
$User = [ADSI]"WinNT://$Computer/$UserName,user"
$Flags = $User.UserFlags.psbase.Value

#Проверка существования срока жизни пароля.
If ($Flags -band 65536)
{
  "Пароль никогда не имеет срока действия"
}

Else
{
  #Конвертируем время в дни.
  $AgeDays = $User.PasswordAge.psbase.Value / 86400
  $MaxAge = $User.MaxPasswordAge.psbase.Value / 86400

  If ($AgeDays -gt $MaxAge)
  {
    "Пароль просрочен"
  }

  Else
  {
    If (($AgeDays + $Days) -gt $MaxAge)
    {
      "Пароль будет просрочен через $Days дней"
    }

    Else
    {
      "Все в порядке"
    }
  }
}

При должной доработке такой скрипт может уведомлять пользователей при регулярном запуске или при входе в систему.

Уже давно я задумывался о смысле существования срока жизни пароля. С одной стороны, это хорошо и безопасно, с другой ― постоянное придумывание новых паролей приводит к забыванию этих самых паролей и, как следствие, к стикерам на мониторе и под клавиатурой.

Поэтому все больше мне близка практика, когда пользователи сами придумывают пароли, но при этом регулярно проводится аудит их творчества путем атаки по словарю утилитами вроде L0phtCrack. Обязательным остается только требование к длине паролей (вспоминая известную картинку от xkcd).

Так можно и людям жизнь облегчить, и избежать защитной реакции на «закручивание гаек» в виде чудесных сочетаний вроде Qwerty123. Ну, а что ― система не ругается, а ИБ эта ваша… понапридумывали тут.

Кстати, а у вас есть аккаунт-менеджер или какая-нибудь модно-молодежная практика смены паролей?

За почти 20-летнюю историю моего знакомства с ПК я практически не пользовался Проводником Windows для операций с файлами, сразу установив Total Commander, популярный клон файлового менеджера Norton Commander. В подобных двухпанельных файловых менеджерах работа с файлами и папками была интуитивно понятна и удобна — в одной панели вы открывали папку, из которой надо было копировать файлы, а в другой — ту, в которую их надо было копировать или переместить.

Проводник Windows для этого требовал куда больше действий — нужные файлы надо было копировать с помощью горячих клавиш или контекстного меню, или перетаскивать их с помощью мыши в нужную папку. Однако Total Commander предоставляет гораздо больше возможностей работы с файлами и папками, но многие пользователи просто не догадываются об этом. 

Большинство моих знакомых пользовались Total Commander только для простых операций с файлами, даже не заглядывая в его дополнительные меню. Я же, попробовав такие его мощные функции, как групповое переименование и поиск файлов, решил разобраться в возможностях Total Commander более подробнее. Стоит отметить то, что Total Commander может работать в портативном режиме и версией 7.5 я пользовался более 10 лет, с 2009 года, ни разу не переустанавливая ее.

В этой версии я сделал много тонких настроек, делающих Total Commander более удобным и функциональным: индивидуальные цвета для разных типов файлов, которые очень упрощают визуальный поиск нужных файлов, оптимальный размер шрифтов, вкладки с часто используемыми папками. А еще — ярлыки некоторых команд, например, выделения всего содержимого панели, подсчет места, занимаемого папками или показа всех файлов в подкаталогах в панели.   

Кстати, именно функция показа всех файлов в подкаталогах одна из самых мощных и оригинальных в Total Commander, аналогов которой в Проводнике нет и не предвидится. Как ее использовать? Представьте, что у вас есть 100 папок, в которых лежат файлы в форматах txt, doc и rtf, и вам надо переместить оттуда только doc файлы. В Проводнике это превратится в долгую и рутинную работу, а в Total Commander достаточно включить показ всех файлов нужной папки в панели без подкаталогов, выбрать doc файлы с помощью клавиш shift или ctrl и переместить их, что займет несколько секунд.

Пример — выбраны все файлы tif в сотнях папок

В 2020 году я наконец-то решил переехать на более новую версию Total Commander под номером 9.12 и перенес в нее все настройки из старой версии 7.5. Но заодно решил добавить в новый Total Commander интересные команды и ссылки на средства администрирования Windows, чтобы все наиболее часто используемое из инструментов для настройки ПК всегда было под рукой.

Панель инструментов в Total Commander позволяет добавлять туда как обычные ярлыки, так и внутренние команды файлового менеджера или вызов функций и команд Windows. Помимо стандартных кнопок представления панелей в Total Commander я добавил туда вот такие: 

cm_MultiRenameFiles — групповое переименование файлов.

cm_CopyFullNamesToClip — копирование в буфер обмена имени файла и его пути. 

cm_CountDirContent — подсчет веса подкаталогов. Одна из самых часто используемых мною команд в Total Commander. На скриншоте ниже подсчитан вес папок, и они отсортированы по размеру.

Кстати, есть в TC шикарная функция разных цветов для файлов свежее часа и свежее суток. На скриншоте свежие графические файлы выделены другим цветом.

cm_DirBranch — показ всех файлов в подкаталогах, функция, которую я описал выше

cm_ExchangeSelection — инвертирование выделения в панели. Удобная функция, позволяющая сэкономить время, не выделяя все файлы в панели вручную. Ею можно быстро выделить все, не выбирая отдельный файл. Надо отметить, что многие функции в Total Commander имеют горячие клавиши и инверсия выделения происходит и по нажатию кнопки «*» в NUM-панели клавиатуры.

cm_Exchange — команда меняет панели местами. Я чаще использую для работы правую панель и эта команда удобна для того, чтобы поменять папку источник и папку получатель.

cm_TransferLeft — команда открывает в левой панели папку под курсором. Это быстрее, чем выбрать папку и открыть ее в левой панели с помощью клавиш ctrl+»стрелка влево».

А дальше на панели инструментов у меня идут ярлыки для команд и утилит Windows, про которые стоит рассказать подробнее.

rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl — открывает стандартное средство установки и удаления программ. 

compmgmt.msc — управление компьютером.

control.exe — открывает Панель управления.

devmgmt.msc — диспетчер устройств.

msconfig.exe — конфигурация системы.

services.msc — службы Windows.

cmd.exe — открывает командную строку. Нужно отметить, что щелчок по ярлыку правой кнопкой мыши дает возможность запустить все команды с правами администратора, что часто требуется для командной строки.

cm_OpenDrives — команда открывает в левой панели аналог «Этот компьютер» в Проводнике. 

control с параметром netconnections — открывает сетевые подключения.

control sysdm.cpl,,1 — открывает свойства системы, до которых все труднее добраться в Windows 10 и Windows 11.

explorer shell:::{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0} — эта команда открывает окно «выполнить», обычно запускаемое комбинацией клавиш Win+R.

diskmgmt.msc — открывает оснастку «управление дисками».

ms-settings:windowsdefender — открывает Безопасность Windows, где можно быстро добраться до настройки антивируса Microsoft Defender.

Думаю, вы уже поняли, что с таким набором команд практически полностью отпадает нужда запускать их через меню Пуск или искать их через поиск. Все под рукой и занимает одну небольшую панель. Но одной панелью Total Commander не ограничивается, и команда %COMMANDER_PATH%System.bar открывает еще одну панель, где собраны более редкие ярлыки. Такие, как редактор реестра или учетные записи пользователей.

А вот на командах для Windows 10 и Windows 11, начинающихся с ms-settings:, стоит остановиться подробнее. Таких команд множество, и они позволяют быстро попадать в нужные места настройки системы, экономя вам уйму времени. Например:

ms-settings:windowsupdate — открывает центр обновления Windows.

ms-settings:display — настройки дисплея.

ms-settings:sound — настройки звука.

ms-settings:apps-volume — параметры устройств и громкости приложений. Эту команду удобнее и даже быстрее использовать для регулировки звука отдельных приложений, чем выбирать микшер громкости в панели задач.

Как видите, Total Commander легко превратить в удобное средство управления не только файлами, но и всем вашим ПК. Конечно, все эти ярлыки можно реализовать и на Рабочем столе или меню Пуск, но в Total Commander они не мозолят глаза и не мешаются, а после переустановки Windows останутся на месте.

Total Commander, как и другие портабельные программы, удобно держать на внешнем жестком диске, где они будут в безопасности при заражении ПК вирусами или при форматировании SSD перед установкой Windows. А после установки Windows достаточно скопировать их с внешнего HDD и начать пользоваться. В Ситилинке самыми популярными моделями внешних HDD осенью 2022 года стали вот эти три модели: Toshiba Canvio Basics HDTB410EK3AA, Toshiba Canvio Basics HDTB420EK3AA и Transcend StoreJet 25M3S TS1TSJ25M3S.

Пишите в комментарии, а вы пользуетесь Total Commander или вам хватает Проводника Windows? 

Более 500 блогов автора Zystax обо всем, что связано с компьютерами и играми.