Gestion intégrée des identités et des accès
Télécharger | DémoSIEM complet et UEBA
Télécharger | DémoGestion et reporting Active Directory
Télécharger | DémoAudit en temps réel d’Active Directory et UBA
Télécharger | DémoAnalyse et reporting des journaux en temps réel
Télécharger | DémoAudits et reporting Exchange Server
Télécharger | DémoLorsque les utilisateurs d’un environnement AD se connectent à leurs machines Windows depuis le réseau de l’organisation, leurs informations de connexion sont enregistrées dans le cache local de leur machine. Cela leur permet de se reconnecter avec leur mot de passe Windows même lorsqu’ils sont hors du réseau de l’entreprise, puisque les informations d’identification sont vérifiées à partir du cache local au lieu d’AD. Cependant, s’ils oublient leur mot de passe ou si leur mot de passe en cache expire alors qu’ils ne sont pas connectés au réseau de l’entreprise, ils ne pourront ni se connecter, ni recevoir de notifications pour mettre à jour leur mot de passe. Même si l’administrateur réinitialise le mot de passe à distance, celui-ci ne sera pas synchronisé avec le cache tant que la machine est hors réseau, et les utilisateurs seront bloqués.
ADSelfService Plus résout ce problème en offrant la réinitialisation des informations d’identification en cache. Lorsqu’activée, un lien Réinitialiser le mot de passe/Débloquer le compte est ajouté directement à l’écran de connexion Windows. Pour réinitialiser leur mot de passe, les utilisateurs doivent cliquer sur ce lien et prouver leur identité via l’une des méthodes d’authentification obligatoires, telles que : jetons matériels et logiciels, authentification biométrique ou authentification push. Une fois l’identité de l’utilisateur vérifiée avec succès, il pourra réinitialiser son mot de passe de domaine AD oublié ou expiré.
La mise à jour des informations d’identification locales en cache sur les machines Windows peut être réalisée :
L’agent de connexion ADSelfService Plus utilise une interface en ligne de commande (CLI) pour initier une connexion avec le VPN intégré. Tout fournisseur VPN supportant une CLI avec privilèges de compte LocalSystem peut être utilisé pour la mise à jour des informations d’identification en cache. Ces commandes CLI VPN seront utilisées par ADSelfService Plus pour se connecter automatiquement à AD lors des opérations de Réinitialisation de mot de passe et de Mise à jour des informations d'identification en cache.
Si Mise à jour des informations d'identification en cache via un client VPN est activée,
Remarque: Par défaut, les connexions VPN pour mettre à jour le cache local sont initiées avec les identifiants de l’utilisateur final qui a initié la réinitialisation du mot de passe.
et saisissez les identifiants de ce compte de service.
: C:\Program Files (x86)\Cisco\Cisco IPSec\vpnclient.exe
L’emplacement du client VPN doit être uniformément maintenu sur toutes les machines utilisateurs. Si vous utilisez un fournisseur VPN personnalisé, veuillez contacter le support de votre fournisseur VPN pour connaître le nom du client utilisé pour l'interface en ligne de commande et indiquer son emplacement comme emplacement du client. VPN personnaliséPour , des macros (%user_name%, %password%, etc.) peuvent être utilisées dans la commandeVPN Connect/Disconnect , des macros (%user_name%, %password%, etc.) peuvent être utilisées dans la commande . (Note : la syntaxe pour la
. Cliquez sur HTTPS pour télécharger le fichier ZIP. Décompressez et extrayez le fichier FortiSSLVPNClient.exe (qui se trouve dans le dossier SSLVPNcmdline) à un emplacement accessible à l’agent de connexion Windows ADSelfService Plus. Le chemin où FortiSSLVPNClient.exe est installé doit être indiqué en tant que Chemin du client VPN.varie selon le fournisseur VPN utilisé.)
Paramètres spécifiques au fournisseur VPN
Vous devrez remplacer <Full_path_to_the_o.vpn_file> par le chemin complet vers le fichier .ovpn situé sur la machine. Les identifiants de l'utilisateur ou du compte de service seront entrés dans un fichier temporaire créé durant le processus de connexion. Le %tempFile% macro sera remplacé par ce nom de fichier lors de la connexion VPN, et le mot de passe sera mis à jour dans le cache. En savoir plus.
Remarque: Après la mise à jour du nouveau mot de passe dans le cache, le VPN sera déconnecté et le fichier temporaire sera supprimé automatiquement, protégeant ainsi les identifiants du compte utilisateur.
Remarque: Toutes les informations sensibles telles que les identifiants du compte de service ou la clé pré-partagée utilisée pour Windows Native VPN seront stockées dans la base de données ADSelfService Plus sous forme de chaîne chiffrée, qui sera envoyée dynamiquement aux agents de connexion Windows lorsqu'ils en font la demande. Elle ne peut être déchiffrée que par un agent de connexion Windows valide.
La connexion VPN établie sera automatiquement déconnectée après la mise à jour du cache avec le nouveau mot de passe, garantissant ainsi que la connexion VPN ne soit pas utilisée à mauvais escient pour accéder à une ressource.
Les informations d'identification mises en cache peuvent être mises à jour sans VPN si votre organisation ne dispose pas d'une infrastructure VPN ou utilise un fournisseur VPN non pris en charge par ADSelfService Plus.
Si Mettre à jour les informations d'identification mises en cache sans client VPN est activée,
Remarque: Si les deux options (mise à jour des informations d'identification mises en cache via un client VPN ainsi que sans client VPN) sont activées, une mise à jour via VPN sera tentée en premier. En cas d’échec, la mise à jour des informations d'identification mises en cache sera tentée sans VPN.
La mise à jour du cache sans connexion à AD via VPN peut présenter quelques limitations affectant la manière dont les applications récupèrent les données sensibles utilisant DPAPI. Cela comprend les applications qui utilisent les mots de passe et les données de complétion automatique de formulaires comme Internet Explorer et Google Chrome, les mots de passe réseau stockés dans le Gestionnaire d'identifiants, les clés privées pour le système de fichiers chiffrés (EFS), et SSL/TLS dans Internet Information Services.
Par exemple, les mots de passe enregistrés dans le navigateur Chrome sont stockés et récupérés via DPAPI, qui exige que le client ait été connecté à AD lors de la mise à jour du mot de passe en cache. Si le cache est mis à jour sans connexion VPN à AD, Chrome ne pourra pas récupérer les informations utilisateur stockées jusqu’à la prochaine connexion de la machine à AD.
Nous vous recommandons de choisir l’ Mettre à jour les informations d'identification mises en cache sans client VPN option uniquement si votre organisation ne dispose pas d’un fournisseur VPN pris en charge par ADSelfService Plus pour la mise à jour des informations d'identification mises en cache.
La mise à jour des informations d'identification mises en cache sans VPN est prise en charge uniquement sur les serveurs Windows exécutant Windows Server 2008 R2 et ultérieur, et sur les clients Windows exécutant Windows 7 et ultérieur.
Votre demande a été soumise à l’équipe de support technique ADSelfService Plus. Nos techniciens vous assisteront dans les plus brefs délais.
Copyright © 2026, ZOHO Corp. Tous droits réservés.
ADManager Plus
ADAudit Plus
Exchange Reporter Plus
M365 Manager Plus
Sujet précédent