So aktualisieren Sie Windows zwischengespeicherte Anmeldeinformationen
Wenn Benutzer in einer AD-Umgebung sich innerhalb des Unternehmensnetzwerks bei ihren Windows-Geräten anmelden, werden ihre Anmeldedaten im lokalen Cache auf ihren Geräten gespeichert. Dies ermöglicht es ihnen, sich erneut mit ihrem Windows-Passwort anzumelden, selbst wenn sie sich außerhalb des Firmennetzwerks befinden, da die Anmeldeinformationen gegen ihren lokalen Cache statt gegen AD überprüft werden. Wenn sie jedoch ihr Passwort vergessen oder ihr zwischengespeichertes Passwort abläuft, während sie nicht mit dem Firmennetzwerk verbunden sind, können sie sich weder anmelden noch werden sie aufgefordert, ihre Passwörter zu aktualisieren. Selbst wenn der Administrator ihr Passwort aus der Ferne zurücksetzt, wird dieses nicht mit dem Cache synchronisiert, solange das Gerät vom Unternehmensnetzwerk getrennt ist, und die Benutzer werden ausgesperrt.
ADSelfService Plus löst dieses Problem durch die Bereitstellung von Zurücksetzen zwischengespeicherter Anmeldeinformationen. Wenn diese Funktion aktiviert ist, wird auf dem Windows-Anmeldebildschirm direkt ein Link zum Zurücksetzen des Passworts/Entsperren des Kontos hinzugefügt. Um ihr Passwort zurückzusetzen, müssen Benutzer auf den Link klicken und ihre Identität durch eine der durchgesetzten Authentifizierungsmethoden nachweisen, z. B. Hardware- und Software-Token, biometrische Authentifizierung oder Push-Authentifizierung. Sobald die Identität eines Benutzers erfolgreich verifiziert wurde, darf er seine vergessenen oder abgelaufenen AD-Domänenpasswörter zurücksetzen.
Wichtig:
- Der ADSelfService Plus Windows Login Agent ist für die Funktionalität dieser Funktion erforderlich. Installationsschritte für den Agenten finden Sie hier.
- Die Aktualisierung zwischengespeicherter Anmeldeinformationen wird nur für Windows unterstützt.
- Benutzer müssen bei ADSelfService Plus registriert sein, um die Funktionen Self-Service-Passwortrücksetzung und Self-Service-Kontoentsperrung nutzen zu können.
- Die Registrierung ist ein einmaliger Vorgang, bei dem Benutzer ihre Handynummer und E-Mail-Adresse eingeben, Sicherheitsfragen beantworten oder weitere Details in ADSelfService Plus angeben, um sich für Self-Service-Passwortverwaltung zu registrieren. Erfahren Sie, wie Sie Benutzer registrieren.
Die Aktualisierung der lokalen zwischengespeicherten Anmeldeinformationen auf Windows-Geräten kann erfolgen:
- Über einen VPN-Client
- Ohne Verwendung eines VPN
Aktualisierung zwischengespeicherter Anmeldeinformationen über einen VPN-Client
Der ADSelfService Plus Login Agent nutzt eine Befehlszeilenschnittstelle (CLI), um eine Verbindung mit dem integrierten VPN herzustellen. Jeder VPN-Anbieter, der eine CLI mit LocalSystem Kontorechten unterstützt, kann für die Aktualisierung zwischengespeicherter Anmeldeinformationen verwendet werden. Diese VPN-CLI-Befehle werden von ADSelfService Plus verwendet, um während der Passwortrücksetzung und Aktualisierung zwischengespeicherter Anmeldeinformationen Vorgänge automatisch eine Verbindung zu AD herzustellen.
Unterstützte VPN-Clients
- Fortinet
- Cisco IPSec
- Cisco AnyConnect
- Windows Native VPN
- SonicWall NetExtender
- Checkpoint EndPoint Connect
- SonicWall Global VPN
- OpenVPN
- Custom VPN
Prozessablauf
Wenn Aktualisierung zwischengespeicherter Anmeldeinformationen über einen VPN-Client aktiviert ist,
- wird die Identität des Benutzers mittels MFA verifiziert und die Anforderung zum Zurücksetzen des Passworts an ADSelfService Plus gesendet, welches das neue Passwort in AD aktualisiert.
- Das neue Passwort wird an den Windows Login Agent auf dem Gerät des Benutzers gesendet.
- Der Login Agent stellt automatisch eine sichere Verbindung mit AD über die konfigurierten VPN-Verbindungsbefehle her und initiiert eine Anforderung zur Aktualisierung der lokalen zwischengespeicherten Anmeldeinformationen.
- Die Anforderung wird von AD erfolgreich genehmigt, und die zwischengespeicherten Anmeldeinformationen werden automatisch im lokalen Cache auf dem Windows-Gerät des Benutzers aktualisiert.
Konfiguration der Aktualisierung zwischengespeicherter Anmeldeinformationen über VPN
Voraussetzungen
- Sie müssen auf jedem Benutzergerät einen VPN-Client installiert haben, der eine CLI mit LocalSystem-Kontorechten unterstützt.
- Halten Sie bitte ein Dienstkonto bereit, falls:
- Ihre Organisation MFA für Endbenutzer-VPN-Verbindungen vorgeschrieben hat, oder
- Ein gemeinsames Konto für alle VPN-Verbindungen verwendet wird, die von den Benutzern Ihrer Organisation initiiert werden.
Hinweis: Standardmäßig werden VPN-Verbindungen zur Aktualisierung des lokalen Caches mit den Anmeldeinformationen des Endbenutzers hergestellt, der die Passwortrücksetzung initiiert hat.
Konfigurationsschritte
- Melden Sie sich bei ADSelfService Plus mit Administratoranmeldedaten an.
- Navigieren Sie zu Configuration > Administrative Tools > GINA/Mac/Linux (Ctrl+Alt+Del).
- Klicken Sie auf Windows Cached Credential Update.
- Stellen Sie den Umschalter auf Cached Credential Update aktivieren . .
- Wählen Sie Aktualisierung zwischengespeicherter Anmeldeinformationen über VPN-Client
- . Wählen Sie den VPN-Anbieter
- aus der Dropdown-Liste aus. Geben Sie den und VPN-Hostnamen/IP-Adresse und die
- VPN-Portnummer in die entsprechenden Felder ein. Geben Sie im Feld
VPN Client Pfad
- den vollständigen Pfad ein, wo der VPN-Client auf den Benutzergeräten installiert ist, z. B. C:\ProgramFiles\Fortinet\FortiClient\FortiClient.exe Wenn Sie ein Dienstkonto für VPN-Verbindungen verwenden möchten, wählen Sie
VPN-Zugriff über ein Dienstkonto aktivieren
- Cisco AnyConnectund geben Sie die Anmeldedaten des Dienstkontos ein.
- SonicWall Global VPNHier sind die Client-Standorte der VPN-Anbieter, die von ADSelfService Plus standardmäßig unterstützt werden:
- : C:\Program Files (x86)\Cisco\Cisco AnyConnect\vpncli.exe: C:\Program Files (x86)\SonicWall\SonicWall Global VPN\swgvc.exeFortinet VPN: Die passende Version der VPN-Client-Datei (Fortinet VPNFortiSSLVPNClient.exe ) muss vom Fortinet Supportportal heruntergeladen und auf den Benutzergeräten installiert werden. Um die VPN-Client-Datei herunterzuladen ( ), melden Sie sich im Fortinet Supportportalan und navigieren Sie zu Firmware Downloads > FortiClient > wählen Sie Ihre VPN-Version > FortinetClientTools.zip:
. Klicken Sie auf HTTPS, um die ZIP-Datei herunterzuladen. Entpacken Sie die Datei und extrahieren Sie die FortiSSLVPNClient.exe (Sie finden sie im SSLVPNcmdline-Ordner) an einen für den ADSelfService Plus Windows Login Agent zugänglichen Ort. Beim VPN Client Pfad muss der Speicherort angegeben werden, an dem die Datei FortiSSLVPNClient.exe installiert wurde.
- BeispielC:\FortiClient\FortiSSLVPN\x86\FortiSSLVPNClient.exe
- SonicWall NetExtenderCheck Point VPN
- OpenVPN: C:\Program Files (x86)\CheckPoint\Endpoint Connect\trac.exe
- Cisco IPSec: C:\Program Files (x86)\Sonicwall\SSL-VPN\NetExtender\necli.exe
: C:\Program Files (x86)\Sophos\Sophos ssl client\bin\openvpn.exe
: C:\Program Files (x86)\Cisco\Cisco IPSec\vpnclient.exe Custom VPNDer VPN-Client-Pfad muss auf allen Benutzergeräten einheitlich sein. Wenn Sie einen benutzerdefinierten VPN-Anbieter verwenden, kontaktieren Sie bitte den Support Ihres VPN-Anbieters, um den Namen des Clients für die Befehlszeilenschnittstelle zu erfahren, und geben Sie dessen Speicherort als Client-Pfad an. Fürkönnen Makros (%user_name%, %password% usw.) in den Für VPN-Verbindungs-/Trennungsbefehl
Firmware Downloads > FortiClient > wählen Sie Ihre VPN-Version > FortinetClientTools.zipverwendet werden. (Hinweis: Die Syntax für den
- variiert je nach verwendetem VPN-Anbieter.) : connect -s adsspvpn -h %servername%:%portno% -u %user_name%:%password%.
Klicken Sie auf
Speichern
Fortinet
- VPN-Anbieterspezifische EinstellungenDies sind Einstellungen, die speziell VPN-Anbietern zugeordnet sind und es Administratoren ermöglichen, detaillierte Kontrolle über die VPN-Verbindungen zu haben. Die anbieterbezogenen Einstellungen für die von ADSelfService Plus unterstützten VPNs sind nachfolgend aufgeführt.
- Protokoll: L2TP (Layer 2 Tunneling Protocol). Andere Protokolle werden momentan nicht unterstützt.
Unterstützte Makros
- : %user_name%, %password%, %servername% und %portno%Cisco AnyConnect VPN Nicht unterstützte Funktionen : Das
- Accept Disclaimer Banner. VPN-Gruppenname: Wenn beim Verbindungsaufbau zu Cisco AnyConnect VPN über die Befehlszeile die Aufforderung erscheint, den VPN-Gruppennamen als Nummer aus der Liste (z. B.: 1 – VPN-Admins, 2 – VPN-Benutzer) einzugeben, geben Sie dieselbe Nummer ein wie im Wenn beim Verbindungsaufbau zu Cisco AnyConnect VPN über die Befehlszeile die Aufforderung erscheint, den Feld im ADSelfService Plus Admin-Portal.
Windows Native VPN
- Unterstütztes ProtokollDies sind Einstellungen, die speziell VPN-Anbietern zugeordnet sind und es Administratoren ermöglichen, detaillierte Kontrolle über die VPN-Verbindungen zu haben. Die anbieterbezogenen Einstellungen für die von ADSelfService Plus unterstützten VPNs sind nachfolgend aufgeführt.
- Vorinstallierter Schlüssel: Geben Sie den vorinstallierten Schlüssel für eine L2TP-Verbindung ein.
OpenVPN
- Beispiel-Verbindungsbefehl: --config "Vollständiger_Pfad_zur_o.vpn_Datei>" --auth-user-pass %tempFile%
Ersetzen Sie <Vollständiger_Pfad_zur_o.vpn_Datei> mit dem vollständigen Pfad zur .ovpn-Datei, die sich auf dem Gerät befindet. Die Anmeldeinformationen des Benutzer- oder Dienstkontos werden in einer temporären Datei eingegeben, die während des Anmeldevorgangs erstellt wird. Die %tempFile% Variable wird während der VPN-Verbindung durch diesen Dateinamen ersetzt, und das Passwort wird im Cache aktualisiert. Mehr erfahren.
Hinweis: Nach der Aktualisierung des neuen Passworts im Cache wird die VPN-Verbindung automatisch getrennt und die temporäre Datei gelöscht, wodurch die Anmeldeinformationen des Benutzerkontos geschützt werden.
Custom VPN
- Beispielverbindungsbefehl: -t vpn.selfservice.com -u john -i allow -U -P autologin -m other connect
- Protokoll: L2TP (Layer 2 Tunneling Protocol). Andere Protokolle werden momentan nicht unterstützt.
VPN-Makros in ADSelfService Plus verfügbar
- %user_name% - wird durch den sAMAccountName des Benutzers oder den Benutzernamen des Dienstkontos ersetzt
- %password% - wird durch das Passwort des Benutzers oder des Dienstkontos ersetzt
- %servername% - wird durch den Wert von VPN HostName/IP ersetzt
- %portno% - wird durch den Wert der VPN-Portnummer ersetzt
Hinweis: Alle sensiblen Informationen wie die Anmeldeinformationen des Dienstkontos oder der für Windows Native VPN verwendete Pre-Shared Key werden in der ADSelfService Plus-Datenbank als verschlüsselter String gespeichert, der bei Bedarf dynamisch an die Windows-Anmeldeagenten gesendet wird. Er kann nur von einem gültigen Windows-Anmeldeagenten entschlüsselt werden.
Die hergestellte VPN-Verbindung wird nach der Aktualisierung des Caches mit dem neuen Passwort automatisch getrennt, um sicherzustellen, dass die VPN-Verbindung nicht missbräuchlich zum Zugriff auf Ressourcen verwendet wird.
Aktualisieren von zwischengespeicherten Anmeldeinformationen ohne VPN-Client
Zwischengespeicherte Anmeldeinformationen können ohne VPN aktualisiert werden, wenn Ihre Organisation keine VPN-Infrastruktur besitzt oder einen VPN-Anbieter verwendet, der von ADSelfService Plus nicht unterstützt wird.
Prozessablauf
Wenn Zwischengespeicherte Anmeldeinformationen ohne VPN-Client aktualisieren aktiviert ist,
- Die Identität des Benutzers wird über MFA verifiziert und die Passwort-Zurücksetzen-Anfrage wird an ADSelfService Plus gesendet, das das neue Passwort im AD aktualisiert.
- Nachdem das neue Passwort im AD aktualisiert wurde, wird der lokale Cache auf den Geräten der Benutzer automatisch mit dem neuen Passwort aktualisiert.
Konfigurationsschritte
- Melden Sie sich bei ADSelfService Plus mit Administratoranmeldedaten an.
- Navigieren Sie zu Configuration > Administrative Tools > GINA/Mac/Linux (Ctrl+Alt+Del).
- variiert je nach verwendetem VPN-Anbieter.) Windows-Zwischengespeicherte-Anmeldeinformationen-Aktualisierung.
- Stellen Sie den Umschalter auf Zwischengespeicherte-Anmeldeinformationen-Aktualisierung aktivieren
- Wählen Sie Zwischengespeicherte Anmeldeinformationen ohne VPN-Client aktualisieren
- variiert je nach verwendetem VPN-Anbieter.) Speichern.
Hinweis: Wenn beide Optionen (Aktualisierung der Windows-zwischengespeicherten Anmeldeinformationen sowohl mit als auch ohne VPN-Client) aktiviert sind, wird zuerst eine Aktualisierung über VPN versucht. Falls dies fehlschlägt, wird eine Aktualisierung der zwischengespeicherten Anmeldeinformationen ohne VPN versucht.
Die Aktualisierung des Caches ohne Verbindung zum AD über VPN kann einige Einschränkungen haben, die beeinflussen, wie Anwendungen sensible Daten mit DPAPI abrufen. Dazu gehören Anwendungen, die Passwörter und Formular-Autovervollständigungsdaten wie Internet Explorer und Google Chrome verwenden, Netzwerkkennwörter, die im Credential Manager gespeichert sind, private Schlüssel für das Encrypting File System (EFS) sowie SSL/TLS in Internet Information Services.
Beispielsweise werden im Chrome-Browser gespeicherte Passwörter über DPAPI gespeichert und abgerufen, was erfordert, dass der Client beim Aktualisieren des zwischengespeicherten Passworts mit dem AD verbunden ist. Wenn der Cache ohne VPN-Verbindung zum AD aktualisiert wird, kann Chrome die gespeicherten Benutzerinformationen erst wieder abrufen, wenn das Gerät sich erneut mit dem AD verbindet.
Wir empfehlen, die Zwischengespeicherte Anmeldeinformationen ohne VPN-Client aktualisieren Option nur dann zu wählen, wenn Ihre Organisation keinen von ADSelfService Plus unterstützten VPN-Anbieter für die Aktualisierung zwischengespeicherter Anmeldeinformationen besitzt.
Die Aktualisierung zwischengespeicherter Anmeldeinformationen ohne VPN wird nur auf Windows-Servern mit Windows Server 2008 R2 und neuer sowie auf Windows-Clients mit Windows 7 und neuer unterstützt.
Sie sehen nicht, wonach Sie suchen?
-
Besuchen Sie unsere Community
Stellen Sie Ihre Fragen im Forum.
-
Zusätzliche Ressourcen anfordern
Senden Sie uns Ihre Anforderungen.
-
Benötigen Sie Hilfe bei der Implementierung?
Probieren Sie OnboardPro
ADManager Plus
ADAudit Plus
Exchange Reporter Plus
M365 Manager Plus
Vorheriges Thema