背景

由于安全问题，取消了堡垒机直接托管资产的模式，需要用户通过堡垒机先登录操作机，然后通过操作机运维对应服务器

问题现象

调整运维模式后，发现原来堡垒机直接运维服务器时候，用户密码到期，可以要求用户修改密码；但是通过操作机进行远程后发现直接提示联系管理员进行处理

基于以上问题，堡垒机和infra管理员就成为了瓶颈，双方都挺痛苦的

解决思路

对比前后连接方式差异
原有堡垒机对应的appbox内置微2008 R2，心有操作机位2012 R2 或更高版本，所以版本存在差异，通常对应思路有替换应用程序、导出rdp文件（本质也是带特定参数，但是不一定会有效）、带特定参数

替换应用

基于以上初步判断，计划将mstsc的应用程序拷贝至2012进行替换（实际依赖无法完全解决，于是进行放弃）

导出rdp文件方式

通过2008R2 导出rdp文件，用2008连接没问题，换成2012，问题重现，所以此路也不通

特定参数

各种查资料，发现这个参数在作祟
enablecredsspsupport:i:0

enablerdsaadauth
语法：enablerdsaadauth:i:<value>
说明：确定客户端是否会使用 Microsoft Entra ID 向远程电脑进行身份验证。 与 Azure 虚拟桌面配合使用时，这提供了单一登录体验。 此属性取代了 targetisaadjoined 属性。
支持的值：
0：即使远程 PC 支持 Microsoft Entra 身份验证，连接也不会使用它。
1：如果远程 PC 支持 Microsoft Entra 身份验证，连接将使用它。
默认值：0
适用于：
Azure 虚拟桌面
远程桌面服务
远程电脑连接

然后进行验证确认，修改远程参数后连接正常（无需修改客户端和服务端参数，服务端这块儿我们本身做了一些设置，比如：去掉仅允许运行使用网络级别身份验证的远程桌面的计算机连接）

解决办法

生成rdp文件

调出开始菜单，选择远程桌面，或者运行 mstsc，按照下图操作，另存为rdp文件，路径自己选择

修改配置文件

使用记事本或者同类型文本编辑器打开rdp文件，在最后一行增加参数
enablecredsspsupport:i:0
然后保存文件

远程验证

双击rdp文件进行远程连接，输入需要访问的IP地址即可（原来必须输入用户名密码才会建立远程桌面会话，现在可以先建立会话再输入密码，也就解决掉了前面提到的问题）

如果需要批量操作，也可以通过命令行进行操作
1.打开cmd，进入刚才保存的rdp文件所在路径

可以使用cd /d 完整路径

2.执行 mstsc 指定名字.RDP /v:1.2.3.4 IP地址可以根据需要进行修改（这一步可以自己增加参数输入用户名密码）

3.然后就可以远程修改用户名密码了

该参数可以先不输入密码建立mstsc会话，在会话中可以输入用户名密码（从而解决密码到期无法通过远程桌面修改的问题）

至此，问题得到解决，不喜欢命令行的保存一个rdp文件，喜欢的也可以自己根据需要装一波