Mit Windows Server 2012R2 wurde die Rolle AD FS Server auf die Version 3.0 aktualisiert und ist um die Kennwortrücksetzung erweitert worden. Neben einigen weiteren Änderungen, ist diese Möglichkeit Kennwörter über die Weboberfläche zurück setzen zu können eines der interessantesten Features geworden. Gerade beim Arbeiten mit Office 365 oder SharePoint Online muss man nicht mehr an einem Client in der Domäne angemeldet sein. Man kann nun also auch von jedem anderen Gerät über den Browser das Kennwort für das eigene Benutzerkonto zurücksetzen. Da die Funktion anfangs nur auf Geräte in einer Domäne beschränkt war, sollte drauf geachtet werden, dass der Patch KB3035025 auf allen AD FS Servern installiert ist, um diese Limitierung zu deaktivieren.
Aktivierung der Funktion
Für die Aktivierung der Kennwortrücksetzung muss auf dem primären AD FS Server unter Endpoints die URL /adfs/portal/updatepassword/ aktiviert werden. Betreibt man auch AD FS Proxy Server, kann man anschließend auch die Aktivierung für die Proxy Server vornehmen (Enable on Proxy). Dadurch lässt sich zum Beispiel steuern, ob die Funktion nur in einem internen Netzwerk verfügbar ist, oder aber auch über die Proxy Server im Internet erreichbar ist.

Seite für die Kennwortrücksetzung aktivieren
Anschließend muss auf allen AD FS Server der AD FS Dienst neu gestartet werden.

Neustart des AD FS Dienstes
Anpassung der Claim Rules
Je nachdem, wofür AD FS benutzt wird, kann es nötig sein eine zusätzliche Claim Rule zu erstellen. Hierdurch soll dafür gesorgt werden, dass auch abgelaufene Kennwörter erkannt werden können. Für Office 365 ist das aktuell jedoch nicht mehr nötig. Während es für andere Dienste empfehlenswert ist eine Regel mit folgendem Inhalt anzulegen:
c1:[Type == "http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime"] => issue(store = "_PasswordExpiryStore", types = ("http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime", "http://schemas.microsoft.com/ws/2012/01/passwordexpirationdays", "http://schemas.microsoft.com/ws/2012/01/passwordchangeurl"), query = "{0};", param = c1.Value);

Erstellen der Claim Rule

Übersicht der Claim Rules
Funktionsweise der Kennwortrücksetzung
Die einfachste Möglichkeit die Funktion zu nutzen, ist die URL der vorher aktivierten Webseiten anzusurfen. In der Regel ist das https://<AD FS URL>/adfs/portal/updatepassword. Dort kann nun jeder Benutzer durch Eingabe von Anmeldename, altem Kennwort und zwei mal neues Kennwort sein Kennwort ändern.

Webseite für die Kennwortrücksetzung mit AD FS 3.0
Zusätzlich zum direkten Ansurfen der Funktionsseite, reagiert nun auch die reguläre Anmeldung auf Flags wie „Kennwort ist abgelaufen“ und „Kennwort muss bei nächster Anmeldung neu gesetzt werden“. In beiden Fällen meldet sich der Nutzer wie gewohnt an, wird dann aber auf die Funktionsseite zur Kennwortrücksetzung umgeleitet. Dort ist nun bereits sein Benutzername eingetragen und es müssen nur noch die drei Kennwortfelder ausgefüllt werden.
Diese und weitere Customizing-Möglichkeiten sind ebenfalls im Technet dokumentiert.
Viel Spass beim Ausprobieren!