前幾天有個單位，新配置了一台服務器，做文件服務器，為網絡中提供共享文件夾服務，該單位大約有50多個用戶。服務器采用Windows Server 2008 R2操作系統，升級到Active Directory，為單位每個職工創建了一個用戶名，在服務器上除了為每個用戶創建一個“共享文件夾”保存個人數據外，還創建了“公共”共享文件夾，保存單位的數據，并且在公共文件夾中創建了若幹子目錄，通過用戶權限，設置隻讓指定用戶上傳、修改其中的文件。

在開始規劃的時候，是計劃讓單位的所有計算機加入到域，采用域用戶登錄到計算機，使用并訪問服務器提供的共享文件夾。但在配置好服務器之後，在準備将工作站加入到域時，發現單位的大多數計算機都是Windows XP HOME操作系統，不能加入到域（Windows XP Professional可以加入到域）。雖然可以将Windows XP HOME升級到Windows XP Professional，并且也能保留原來的計算機設置，但與用戶商量，有以下幾點，用戶有疑慮：

（1）Windows XP HOME是計算機OEM的操作系統，如果升級到Windows XP Professional，雖然技術上沒有問題，但這與軟件購買的許可沖突（該單位都是正版操作系統，包括服務器操作系統）。

（2）單位的許多用戶，都習慣在“桌面”保存大量的文件，在加入到域之後，還要将保存在原來“本地用戶”文件夾中的“桌面”數據“移動”到新的“域用戶”桌面文件夾，這一部分雖然簡單，但對于大多數用戶來說，仍然顯得複雜。

（3）加入域之後，需要修改DNS，雖然不影響訪問外網，但用戶習慣設置公網的DNS。

由于有以上問題存在，并且加入用戶隻是使用服務器提供的“共享文件夾”，工作站是否加入到域并不是最重要的，隻要每個用戶記住自己的用戶名及密碼，訪問服務器提供的共享文件夾是不影響使用的。至此，問題算是解決，但由此引來另一個問題，就是“沒有加入域的計算機，這些用戶怎麼才能修改自己的域用戶密碼”？為了解決這個問題，我搭建了如下的實驗環境，嘗試解決。實驗拓撲非常簡單，一台升級到Active Directory的Windows Server 2008 R2（單網卡，單IP），另一台是沒有加入到域的Windows XP，網絡拓撲如圖1-1所示。

圖1-1 實驗環境

如果要在非域環境中，修改域用戶密碼，我能想到的方法有以下這些：

（1）如果網絡中有一台Exchange服務器，在Exchange的OWA中，有通過Web頁面修改密碼的選項。但為了這麼一個網絡，再部署一台Exchange，成本較高。

（2）在服務器上做個網站，與Active Directory集成，做個修改密碼的腳本或網頁。但這需要懂

（2）将服務器配置為“單網卡”VPN服務器，沒有加入到域的計算機，創建一個VPN鍊接，撥号到VPN服務器，第一次登錄VPN服務器時，修改用戶密碼。

（3）将服務器啟用“遠程桌面”，讓用戶使用“遠程桌面連接”程序連接到服務器，在第一次登錄時，更改密碼。

下面分别介紹這兩種方法。

1 配置VPN服務器修改密碼

（1）以管理員方式登錄Active Directory服務器，在“管理工具”中執行“路由和遠程訪問”，右擊“計算機名稱”，在彈出的快捷菜單中選擇“配置并啟用路由和遠程訪問”，如圖1-2所示。

圖1-2配置并啟用路由和遠程訪問

（2）在“配置”對話框選擇“自定義配置”，如圖1-3所示。

圖1-3自定義配置

（3）在“自定義配置”對話框中選擇“VPN訪問”，如圖1-4所示。

圖1-4選擇VPN訪問

（4）在“正在完成路由和遠程訪問服務器安裝向導”對話框，單擊“完成”按鈕，在彈出的“啟動服務”對話框中單擊“啟動服務”按鈕，如圖1-5所示。

圖1-5啟動服務

經過上述配置，VPN服務器已經配置完成。然後在“Active Directory用戶和計算機”中，為每個員工創建一個用戶，允許用戶撥入，并修改用戶屬性，主要步驟如下。

（1）在創建用戶後，右擊帳戶，選擇“屬性”，如圖1-6所示。

圖1-6帳戶屬性

（2）在“撥入”選項卡中，在“網絡訪問權限”選項組中，選擇“允許訪問”，如圖1-7所示。

圖1-7撥入屬性

（3）在“帳戶”選項卡中，在“帳戶選項”中選擇“用戶下次登錄時須更改密碼”，如圖1-8所示，然後單擊“确定”按鈕。

圖1-8用戶下次登錄時須更改密碼

2 在客戶端使用VPN方式更改密碼

（1）打開“網絡連接”，雙擊“新建連接向導”，如圖1-9所示。

圖1-9新建連接向導

（2）在“網絡連接類型”選擇“連接到我的工作場所的網絡”，如圖1-10所示。

圖1-10連接到我的工作場所的網絡

（3）在“網絡連接”對話框中選擇“虛拟專用網絡連接”，如圖1-11所示。

圖1-11虛拟專用網絡連接

（4）在“VPN服務器選擇”對話框中，輸入網絡中Active Directory服務器地址（同時也是VPN服務器地址），在本示例中為192.168.10.10，如圖1-12所示。

圖1-12指定VPN服務器地址

（5）在“正在完成新建連接向導”對話框中單擊“完成”按鈕，如圖1-13所示。

圖1-13創建VPN連接完成

在創建VPN連接之後，彈出“連接xx”對話框，輸入用戶名密碼（如圖1-14所示），在此對話框中，用戶名即是管理員為每個職工創建的用戶名，密碼則為初始密碼（在管理員創建帳戶時，會為每個員工創建統一的初始密碼）。

圖1-14輸入用戶及密碼

之後會撥叫到VPN服務器，在驗證用戶名及密碼，并撥号成功之後，會彈出“更改密碼”的對話框，如圖1-15所示，在此對話框中，員工需要為自己的帳戶設置新的密碼，如圖1-15所示。

圖1-15更改密碼

【說明】如果在圖1-8中，帳戶屬性中沒有選中“用戶下次登錄時須更改密碼”單選按鈕，則不會在圖1-15中彈出“更改密碼”提示，而是直接撥号成功。

在撥号成功之後，右擊單擊右下角的計算機圖标，打開VPN狀态，單擊“斷開”按鈕，斷開到VPN服務器的連接，至此通過VPN的方式更改密碼完成。

3為服務器啟用遠程桌面

（1）右擊“我的電腦”選擇“屬性”，在左側選擇“遠程設置”，如圖1-16所示。

圖1-16遠程設置

（2）在“系統屬性”對話框中，在“遠程”選項卡中，在“遠程桌面”選項中選擇“允許運行任意版本遠程桌面的計算機連接”，如圖1-17所示。

圖1-17啟用遠程桌面

服務器上其他的安全屬性不需要修改。

4在工作站端使用遠程桌面連接

（1）職工在自己的計算機上，打開“運行”對話框，輸入mstsc并按回車鍵，如圖1-18所示。

圖1-18 運行

（2）在“計算機”文本框中輸入服務器的地址，在此為192.168.10.10，如圖1-19所示。

圖1-19 輸入服務器的地址

（3）在登錄到遠程桌面後，選擇“其他用戶”，如圖1-20所示。

圖1-20其他用戶

（4）之後輸入管理員為職工創建的帳号，并輸入初始密碼，按回車鍵，如圖1-21所示。

圖1-21 輸入帳戶及密碼登錄

（5）在登錄成功之後，會彈出“用戶首次登錄之前必須更改密碼”的提示，如圖1-22所示，單擊“确定”按鈕。

圖1-22 用戶首次登錄之前必須更改密碼

（6）随後彈出更改密碼的對話框，其中第一行是帳戶，第二行是初始密碼（已經默認輸入），職工需要在第三、第四行輸入新的密碼，之後按回車鍵即可，如圖1-23所示。

圖1-23輸入新密碼

（7）至此已經完成密碼的修改，如圖1-24所示。

圖1-24密碼己更改

但随後會彈出錯誤提示，用戶不能登錄到這台計算機，因為在域控制器策略中，普通的域用戶不能登錄到服務器，如圖1-25所示，但我們已經完成了用戶密碼的修改，用戶單擊“确定”按鈕，或單擊右上角的“X”按鈕，關閉并退出遠程桌面連接。

圖1-25 用戶不能登錄

5用戶再次更改密碼的方法

（1）在“Active Directory用戶和計算機”中，右擊選中要重新設置密碼的帳戶，在彈出的右鍵菜單中選擇“重置密碼”，如圖1-26所示。

圖1-26重置密碼

（2）在彈出的“重置密碼”對話框中，為用戶設置新的密碼，并選中“用戶下次登錄時須更改密碼”選項，如圖1-27所示，這樣将為用戶重置密碼，用戶使用上述的兩種方法其中的一種，即可以重新設置自己的密碼。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!