الانتقال إلى السابق الموضوع السابق

    تحديث بيانات الاعتماد المخزنة مؤقتًا في Windows

    عندما يسجّل المستخدمون في بيئة Active Directory (AD) الدخول إلى أجهزة Windows الخاصة بهم من داخل شبكة المؤسسة، يتم حفظ تفاصيل تسجيل الدخول في ذاكرة التخزين المؤقت المحلية على أجهزتهم. يتيح لهم ذلك تسجيل الدخول مرة أخرى باستخدام كلمة مرور Windows حتى إذا كانوا بعيدين عن شبكة المؤسسة، حيث ستتم عملية التحقق من بيانات الاعتماد مقابل الذاكرة المؤقتة المحلية بدلاً من AD. ومع ذلك، إذا نسوا كلمة المرور أو انتهت صلاحية كلمة المرور المخزنة في الذاكرة المؤقتة أثناء عدم اتصالهم بشبكة المؤسسة، فلن يتمكنوا من تسجيل الدخول ولن يتلقوا مطالبات لتحديث كلمات المرور الخاصة بهم. حتى إذا قام المسؤول بإعادة تعيين كلمة المرور عن بُعد، فلن تتم مزامنتها مع الذاكرة المؤقتة عندما يكون الجهاز بعيداً عن شبكة المؤسسة، وسيُمنعون من تسجيل الدخول.

    يحل ADSelfService Plus هذه المشكلة بإضافة رابط إعادة تعيين كلمة المرور/فتح الحساب مباشرة إلى شاشة تسجيل الدخول إلى Windows. لإعادة تعيين كلمات مرورهم، يجب على المستخدمين النقر على الرابط وإثبات هويتهم من خلال أي من طرق المصادقة المفروضة، مثل: رموز الأجهزة والبرامج، المصادقة البيومترية، أو المصادقة عبر الإشعار الفوري. بمجرد التحقق بنجاح من هوية المستخدم، سيُسمح لهم بإعادة تعيين كلمات مرور مجال AD المنسية أو المنتهية الصلاحية.

    هام:
    • وكيل تسجيل الدخول لنظام Windows الخاص بـ ADSelfService Plus مطلوب لعمل هذه الميزة. يمكنك العثور على خطوات تثبيت الوكيل هنا.
    • يدعم تحديث بيانات الاعتماد المخزنة مؤقتًا لنظام Windows فقط.
    • يجب أن يكون المستخدمون مسجلين في ADSelfService Plus للاستفادة من ميزتي إعادة تعيين كلمة المرور بالخدمة الذاتية وإلغاء قفل الحساب بالخدمة الذاتية.
    • التسجيل عملية تتم مرة واحدة، حيث يدخل المستخدمون رقم الهاتف المحمول وعنوان البريد الإلكتروني، ويحددون إجابات لأسئلة الأمان، أو يقدمون تفاصيل أخرى في ADSelfService Plus للتسجيل في إدارة كلمات المرور بالخدمة الذاتية. تعرّف على كيفية تسجيل المستخدمين.

    يمكن تحقيق تحديث بيانات الاعتماد المخزنة مؤقتًا محليًا على أجهزة Windows من خلال:

    1. من خلال عميل VPN
    2. بدون استخدام VPN

    تحديث بيانات الاعتماد المخزنة مؤقتًا عبر عميل VPN

    يستخدم وكيل تسجيل الدخول في ADSelfService Plus واجهة سطر الأوامر (CLI) لبدء اتصال مع الـVPN المتكاملة. يمكن استخدام أي موفّر VPN يدعم واجهة سطر الأوامر (CLI) مع امتيازات حساب LocalSystem لتحديث بيانات الاعتماد المخزّنة مؤقتًا. سيتم استخدام أوامر CLI الخاصة بالـVPN بواسطة ADSelfService Plus للاتصال تلقائيًا بـ AD أثناء عمليتَي إعادة تعيين كلمة المرور وتحديث بيانات الاعتماد المخزّنة مؤقتًا.

    عملاء VPN المدعومون

    • فورتينت
    • سيسكو IPSec
    • سيسكو أني كونكت
    • VPN الأصلي في Windows
    • سونيك وول نت إكستندر
    • تشيك بوينت إندبوينت كونكت
    • SonicWall VPN العالمي
    • OpenVPN
    • VPN مخصص

    تدفق العملية

    إذا كان تحديث بيانات الاعتماد المخزنة مؤقتًا عبر عميل VPN مُمكّنًا،

    تحديث بيانات الاعتماد المخزنة مؤقتًا - كيف يعمل
    1. يتم التحقق من هوية المستخدم من خلال MFA، ويُرسَل طلب إعادة تعيين كلمة المرور إلى ADSelfService Plus، والذي يقوم بتحديث كلمة المرور الجديدة في AD.
    2. تُرسل كلمة المرور الجديدة إلى وكيل تسجيل الدخول لنظام Windows على جهاز المستخدم.
    3. يقوم وكيل تسجيل الدخول تلقائياً بإنشاء اتصال آمن مع AD عبر أوامر اتصال VPN المُكوَّنة، ويرسل طلباً لتحديث بيانات الاعتماد المخزنة مؤقتاً محلياً.
    4. تمت الموافقة على الطلب بنجاح من قِبل AD، ويتم تحديث بيانات الاعتماد المخزنة مؤقتًا تلقائيًا في ذاكرة التخزين المؤقت المحلية على جهاز Windows الخاص بالمستخدم.

    تكوين تحديث بيانات الاعتماد المخزنة مؤقتًا عبر شبكة VPN

    المتطلبات الأساسية

    • يجب أن تكون قد قمت بتثبيت عميل VPN يدعم واجهة سطر الأوامر (CLI) بامتيازات حساب LocalSystem على جهاز كل مستخدم.
    • يرجى تحضير حساب خدمة إذا:
      • فرضت مؤسستك استخدام المصادقة متعددة العوامل (MFA) لاتصالات VPN الخاصة بالمستخدمين النهائيين، أو
      • يُستخدم حساب مشترك لجميع اتصالات VPN التي يبدأها مستخدمو مؤسستك.

      ملاحظة: بشكل افتراضي، ستتم تهيئة اتصالات VPN لتحديث ذاكرة التخزين المؤقت المحلية باستخدام بيانات اعتماد المستخدم النهائي الذي بدأ عملية إعادة تعيين كلمة المرور.

    خطوات الإعداد

    1. سجّل الدخول إلى ADSelfService Plus باستخدام بيانات اعتماد المسؤول.
    2. انتقل إلى التكوين > الأدوات الإدارية > GINA/Mac/Linux (Ctrl+Alt+Del).
    3. انقر فوق تحديث بيانات اعتماد Windows المخزنة مؤقتًا.

      4. صورة توضح قائمة عملاء VPN المدعومين

    4. اضبط زر التبديل على تمكين تحديث بيانات الاعتماد المخزنة مؤقتًا.
    5. حدد تحديث بيانات الاعتماد المخزنة مؤقتًا من خلال عميل VPN.
    6. حدد موفر VPN من القائمة المنسدلة.
    7. أدخل اسم المضيف/عنوان IP لشبكة VPN ورقم منفذ VPN في الحقول المخصصة لهما.
    8. في الحقل مسار عميل VPN، أدخل المسار الكامل إلى مكان تثبيت عميل VPN على أجهزة المستخدمين. على سبيل المثال،
      C:\ProgramFiles\Fortinet\FortiClient\FortiClient.exe
    9. إذا كنت تريد استخدام حساب خدمة لاتصالات VPN، فاختر تمكين الوصول إلى VPN عبر حساب خدمة وأدخل بيانات اعتماد حساب الخدمة.

      10. فيما يلي مواقع العملاء لموفري خدمة VPN المدعومين بشكل افتراضي في ADSelfService Plus:

      • سيسكو أني كونكت: C:\ Program Files (x86 )\Cisco\Cisco AnyConnect\vpncli.exe
      • SonicWall Global VPN: C:\Program Files (x86)\SonicWall\SonicWall Global VPN\swgvc.exe
      • Fortinet VPN: يجب تنزيل الإصدار المناسب من ملف عميل الـ VPN (FortiSSLVPNClient.exe) من بوابة دعم Fortinet وتثبيته على أجهزة المستخدمين. لتنزيل ملف عميل الـ VPN (FortiSSLVPNClient.exe)، سجّل الدخول إلى بوابة دعم Fortinet وانتقل إلى Firmware Downloads > FortiClient > select_your_VPN_version > FortinetClientTools.zip. انقر على HTTPS لتنزيل ملف ZIP. قم بفك الضغط واستخراج ملف FortiSSLVPNClient.exe (ستجده داخل مجلد SSLVPNcmdline) إلى موقع يمكن لوكيل تسجيل الدخول لنظام ADSelfService Plus على Windows الوصول إليه. يجب تحديد المسار الذي تم تثبيت ملف FortiSSLVPNClient.exe فيه كمسار عميل الـ VPN. مثال:
        C:\FortiClient\FortiSSLVPN\x86\FortiSSLVPNClient.exe
      • شبكة VPN من Check Point: C:\Program Files (x86)\CheckPoint\Endpoint Connect\trac.exe
      • سونيك وول نت إكستندر: C:\Program Files (x86)\Sonicwall\SSL-VPN\NetExtender\necli.exe
      • OpenVPN: C:\Program Files (x86)\Sophos\Sophos ssl client\bin\openvpn.exe
      • سيسكو آي بي سيك: C:\Program Files (x86)\Cisco\Cisco IPSec\vpnclient.exe

      يجب أن يكون مسار برنامج عميل الـVPN موحدًا على جميع أجهزة المستخدمين. إذا كنت تستخدم مزود VPN مخصصًا، فيُرجى التواصل مع فريق دعم مزود الـVPN لديك لمعرفة اسم برنامج العميل المستخدم لواجهة سطر الأوامر وذكر مساره بوصفه مسار برنامج العميل.

      بالنسبة إلى VPN مخصص، يمكن استخدام وحدات ماكرو (%user_name%، %password%، إلخ) في أمر الاتصال/قطع الاتصال بـ VPN. (ملاحظة: تختلف بنية أمر الاتصال/قطع الاتصال بـ VPN حسب مزود خدمة VPN المستخدم.)

      مثال: connect -s adsspvpn -h %servername%:%portno% -u %user_name%:%password%

    10. انقر فوق حفظ.

    إعدادات خاصة بمزوّد خدمة VPN

    هذه إعدادات خاصة بمزوّدي خدمة VPN تتيح للمسؤولين تحكمًا دقيقًا في اتصالات الـVPN. الإعدادات الخاصة بالمزوّد لشبكات VPN التي يدعمها ADSelfService Plus موضّحة أدناه.

    فورتينت

    • البروتوكول: L2TP (بروتوكول الأنفاق للطبقة الثانية). لا تُدعَم البروتوكولات الأخرى في الوقت الحالي.
    • الماكرو(ات) المدعومة: %user_name%، %password%، %servername% و%portno%

    سيسكو Anyconnect VPN

    • الميزات غير المدعومة: لافتة قبول إخلاء المسؤولية.
    • اسم مجموعة VPN: عند الاتصال بـ Cisco Anyconnect VPN باستخدام سطر الأوامر، إذا طُلب منك في موجه الأوامر إدخال اسم مجموعة VPN كرقم من القائمة المذكورة (مثال: 1 - مسؤولو VPN، 2 - مستخدمو VPN)، يرجى إدخال الرقم نفسه كما هو في حقل اسم مجموعة VPN في بوابة إدارة ADSelfService Plus.

    VPN المدمج في ويندوز

    • البروتوكول المدعوم: L2TP (بروتوكول نفق الطبقة الثانية). لا تُدعم البروتوكولات الأخرى في الوقت الحالي.
    • المفتاح المُشترك مسبقًا: أدخل المفتاح المُشترك مسبقًا المستخدم لاتصال L2TP.

    فتح VPN

    • مثال لأمر الاتصال: --config "Full_path_to_the_o.vpn_file>" --auth-user-pass %tempFile%

      • ستحتاج إلى استبدال <Full_path_to_the_o.vpn_file> بالمسار الكامل لملف .ovpn الموجود على الجهاز. سيتم إدخال بيانات اعتماد حساب المستخدم أو الخدمة في ملف مؤقت يتم إنشاؤه أثناء عملية تسجيل الدخول. سيتم استبدال الماكرو %tempFile% باسم هذا الملف أثناء اتصال VPN، وسيتم تحديث كلمة المرور في ذاكرة التخزين المؤقت. معرفة المزيد.

    ملاحظة: بعد تحديث كلمة المرور الجديدة في ذاكرة التخزين المؤقت، سيتم قطع اتصال VPN وسيتم حذف الملف المؤقت تلقائيًا، وبذلك تتم حماية بيانات اعتماد حساب المستخدم.

    VPN مخصص

    • أمر اتصال نموذجي: -t vpn.selfservice.com -u john -i allow -U -P autologin -m other connect
    • الماكرو(ات) المدعومة: %user_name%، %password%، %servername% و%portno%

    ماكروهات VPN المتاحة في ADSelfService Plus

    • %user_name% - سيتم استبداله بـ sAMAccountName الخاص بالمستخدم أو اسم المستخدم لحساب الخدمة
    • %password% - سيتم استبداله بكلمة مرور المستخدم أو كلمة مرور حساب الخدمة
    • %servername% - سيتم استبداله بقيمة اسم المضيف/عنوان IP الخاص بـ VPN
    • %portno% - سيتم استبداله بقيمة رقم منفذ VPN

    ملاحظة: سيتم تخزين جميع المعلومات الحساسة مثل بيانات اعتماد حساب الخدمة أو المفتاح المُشترك مسبقًا المستخدم لشبكة VPN الأصلية في Windows في قاعدة بيانات ADSelfService Plus كسلسلة مُشفَّرة، والتي سيتم إرسالها إلى وكلاء تسجيل الدخول في Windows بشكل ديناميكي عند الطلب. ولا يمكن فك تشفيرها إلا بواسطة وكيل تسجيل دخول Windows صالح.

    سيتم قطع اتصال الـ VPN المُنشأ تلقائيًا بعد تحديث ذاكرة التخزين المؤقت بكلمة المرور الجديدة، مما يضمن عدم إساءة استخدام اتصال الـ VPN للوصول إلى أي مورد.

    تحديث بيانات الاعتماد المخزنة مؤقتًا بدون عميل VPN

    يمكن تحديث بيانات الاعتماد المخزنة مؤقتًا من دون VPN إذا لم تكن لدى مؤسستك بنية تحتية لشبكة VPN أو كانت تستخدم موفر VPN غير مدعوم من قِبل ADSelfService Plus.

    تدفق العملية

    إذا تم تمكين تحديث بيانات الاعتماد المخزنة مؤقتًا بدون عميل VPN،

    صورة توضح قائمة عملاء VPN المدعومين

    1. يتم التحقق من هوية المستخدم من خلال المصادقة متعددة العوامل (MFA)، ويتم إرسال طلب إعادة تعيين كلمة المرور إلى ADSelfService Plus، الذي يقوم بتحديث كلمة المرور الجديدة في AD.
    2. بعد تحديث كلمة المرور الجديدة في AD، يتم تحديث ذاكرة التخزين المؤقت المحلية على أجهزة المستخدمين تلقائيًا بكلمة المرور الجديدة.

    خطوات الإعداد

    1. سجّل الدخول إلى ADSelfService Plus باستخدام بيانات اعتماد المسؤول.
    2. انتقل إلى التكوين > الأدوات الإدارية > GINA/Mac/Linux (Ctrl+Alt+Del).
    3. انقر فوق تحديث بيانات الاعتماد المخزّنة مؤقتًا في Windows.

      4. صورة توضح قائمة برامج عميل VPN المدعومة

    4. اضبط زر التبديل على تمكين تحديث بيانات الاعتماد المخزنة مؤقتًا
    5. حدد تحديث بيانات الاعتماد المخزّنة مؤقتًا دون عميل VPN
    6. انقر فوق حفظ.

    ملاحظة: إذا تم تمكين الخيارين معًا (تحديث بيانات الاعتماد المخزّنة مؤقتًا في Windows عبر عميل VPN وكذلك بدونه)، فستتم أولاً محاولة التحديث باستخدام VPN. وفي حال فشل ذلك، ستتم محاولة تحديث بيانات الاعتماد المخزّنة مؤقتًا بدون VPN.

    قد يفرض تحديث ذاكرة التخزين المؤقت بدون الاتصال بـ AD عبر VPN بعض القيود التي تؤثر في كيفية استرجاع applications للبيانات الحساسة باستخدام DPAPI. ويشمل ذلك applications التي تستخدم كلمات المرور وبيانات الإكمال التلقائي للنماذج مثل Internet Explorer وGoogle Chrome، وكلمات مرور الشبكة المخزنة في Credential Manager، والمفاتيح الخاصة لنظام تشفير الملفات (EFS)، وبروتوكولات SSL/TLS في خدمات معلومات الإنترنت.

    على سبيل المثال، يتم تخزين كلمات المرور المحفوظة في متصفح Chrome واسترجاعها باستخدام DPAPI، الذي يتطلب أن يكون العميل قد اتصل بـ AD أثناء تحديث كلمة المرور المخزّنة مؤقتًا. إذا تم تحديث ذاكرة التخزين المؤقت بدون اتصال VPN بـ AD، فلن يتمكّن Chrome من استرجاع معلومات المستخدم المخزّنة حتى يتصل الجهاز بـ AD في المرة التالية.

    نوصي باختيار خيار تحديث بيانات الاعتماد المخزّنة مؤقتًا بدون عميل VPN فقط إذا كانت مؤسستك لا تمتلك موفّر VPN مدعومًا من ADSelfService Plus لتحديث بيانات الاعتماد المخزّنة مؤقتًا.

    يتم دعم تحديث بيانات الاعتماد المخزّنة مؤقتًا بدون VPN فقط على أنظمة Windows Servers التي تعمل بنظام Windows Server 2008 R2 وما بعده، وعلى عملاء Windows الذين يعملون بنظام Windows 7 وما بعده.

    الموضوع التاليالانتقال إلى التالي

    شكرًا!

    تم إرسال طلبك إلى فريق الدعم الفني في ADSelfService Plus. سيساعدك فريق الدعم الفني لدينا في أقرب وقت ممكن.

     

    هل تحتاج إلى مساعدة تقنية؟

    • أدخل بريدك الإلكتروني
    • تحدث إلى الخبراء
    •  
       
    •  
    • بالنقر على 'تحدث إلى الخبراء'، فإنك توافق على معالجة البيانات الشخصية وفقاً لِـ سياسة الخصوصية.

    لم تجد ما تبحث عنه؟

    •  

      قم بزيارة مجتمعنا

      انشر أسئلتك في المنتدى.

       
    •  

      اطلب موارد إضافية

      أرسل إلينا متطلباتك.

       
    •  

      هل تحتاج إلى مساعدة في التنفيذ؟

      جرّب OnboardPro