Aktualizacja pamięci podręcznej poświadczeń Active Directory - Przewodnik dla administratora - ADSelfService Plus
 
 
 
Przejdź do poprzedniego Poprzedni temat

Aktualizowanie pamięci podręcznej poświadczeń systemu Windows

Gdy użytkownicy w środowisku AD logują się na swoje maszyny z systemem Windows z sieci organizacyjnej, ich dane logowania są zapisywane w lokalnej pamięci podręcznej na ich maszynach. Umożliwia to ponowne logowanie się z hasłem Windows, nawet jeśli są poza siecią korporacyjną, ponieważ dane uwierzytelniające będą weryfikowane względem ich lokalnej pamięci podręcznej, a nie AD. Jednak jeśli zapomną hasła lub ich zapisana w pamięci podręcznej hasło wygaśnie, gdy użytkownicy nie są połączeni z siecią korporacyjną, nie będą mogli się zalogować ani otrzymać powiadomień o aktualizacji haseł. Nawet jeśli ich administrator zdalnie zresetuje hasło, nie zostanie ono zsynchronizowane z pamięcią podręczną, kiedy maszyna znajduje się poza siecią organizacyjną i użytkownicy zostaną zablokowani.

ADSelfService Plus rozwiązuje ten problem, dodając link Resetuj hasło/Odblokuj konto bezpośrednio na ekranie logowania Windows. Aby zresetować swoje hasła, użytkownicy muszą kliknąć link i potwierdzić swoją tożsamość za pomocą jednej z wymuszonych metod uwierzytelniania, takich jak: tokeny sprzętowe i programowe, uwierzytelnianie biometryczne lub uwierzytelnianie push. Po pomyślnym zweryfikowaniu tożsamości użytkownika, będą mogli zresetować zapomniane lub wygasłe hasła domeny AD.

Ważne:
  • Aby ta funkcja działała, wymagany jest agent logowania ADSelfService Plus dla systemu Windows. Możesz znaleźć kroki do zainstalowania agenta tutaj.
  • Aktualizacja danych uwierzytelniających w pamięci podręcznej jest obsługiwana tylko dla systemu Windows.
  • Użytkownicy muszą być zarejestrowani w ADSelfService Plus, aby móc korzystać z funkcji samodzielnego resetowania hasła i samodzielnego odblokowywania konta.
  • Rejestracja to jednorazowy proces, w którym użytkownicy wpisują swój numer telefonu komórkowego i adres e-mail, ustawiają odpowiedzi na pytania zabezpieczające lub podają inne dane w ADSelfService Plus w celu zarejestrowania się do zarządzania hasłami w trybie samodzielnym. Dowiedz się, jak zarejestrować użytkowników.

Aktualizacja lokalnych danych uwierzytelniających w pamięci podręcznej na maszynach Windows może być osiągnięta:

  1. Przez klienta VPN
  2. Bez użycia VPN

Aktualizacja danych uwierzytelniających w pamięci podręcznej za pomocą klienta VPN

Agent logowania ADSelfService Plus używa interfejsu wiersza poleceń (CLI) do nawiązania połączenia z zintegrowanym VPN. Można użyć dowolnego dostawcy VPN, który obsługuje CLI z uprawnieniami konta LocalSystem, do aktualizacji danych uwierzytelniających w pamięci podręcznej. Komendy CLI VPN będą wykorzystywane przez ADSelfService Plus do automatycznego łączenia z AD podczas operacji Resetowanie hasła i Aktualizacja danych uwierzytelniających w pamięci podręcznej.

Obsługiwane klienci VPN

Przebieg procesu

Jeśli Aktualizuj dane uwierzytelniające w pamięci podręcznej poprzez klienta VPN jest włączone,

Aktualizacja danych uwierzytelniających w pamięci podręcznej - Jak to działa
  1. Tożsamość użytkownika jest weryfikowana za pomocą MFA, a żądanie resetowania hasła jest wysyłane do ADSelfService Plus, który aktualizuje nowe hasło w AD.
  2. Nowe hasło jest wysyłane do agenta logowania systemu Windows na komputerze użytkownika.
  3. Agent logowania automatycznie nawiązuje bezpieczne połączenie z AD za pośrednictwem poleceń połączenia VPN i inicjuje żądanie aktualizacji lokalnych poświadczeń w pamięci podręcznej.
  4. Żądanie zostaje pomyślnie zatwierdzone przez AD, a poświadczenia w pamięci podręcznej są automatycznie aktualizowane w lokalnej pamięci podręcznej na komputerze z systemem Windows użytkownika.

Konfiguracja aktualizacji poświadczeń w pamięci podręcznej przez VPN

Wymagania wstępne

Kroki konfiguracji

  1. Zaloguj się do ADSelfService Plus z uprawnieniami administratora.
  2. Przejdź do Konfiguracja > Narzędzia administracyjne > GINA/Mac/Linux (Ctrl+Alt+Del).
  3. Kliknij Aktualizacja poświadczeń w pamięci podręcznej systemu Windows.

    4. Obraz przedstawiający listę obsługiwanych klientów VPN

  4. Ustaw przełącznik na Włącz aktualizację poświadczeń w pamięci podręcznej.
  5. Wybierz Aktualizuj poświadczenia w pamięci podręcznej za pośrednictwem klienta VPN.
  6. Wybierz Dostawcę VPN z listy rozwijanej.
  7. Wprowadź Nazwę hosta/IP adres klienta VPN oraz Numer portu VPN w odpowiednich polach.
  8. W polu Ścieżka klienta VPN podaj pełną ścieżkę do miejsca, w którym zainstalowany jest klient VPN na komputerach użytkowników. Na przykład,
    C:\ProgramFiles\Fortinet\FortiClient\FortiClient.exe
  9. Jeśli chcesz użyć konta usługowego do połączeń VPN, wybierz Włącz dostęp VPN przez konto usługowe i wprowadź poświadczenia konta usługowego.

    10. Oto lokalizacje klientów dla dostawców VPN obsługiwanych domyślnie w ADSelfService Plus:

    • Cisco AnyConnect: C:\Program Files (x86)\Cisco\Cisco AnyConnect\vpncli.exe
    • SonicWall Global VPN: C:\Program Files (x86)\SonicWall\SonicWall Global VPN\swgvc.exe
    • Fortinet VPN: Odpowiednia wersja pliku klienta VPN (FortiSSLVPNClient.exe) musi być pobrana z portalu wsparcia Fortinet i zainstalowana na komputerach użytkowników. Aby pobrać plik klienta VPN (FortiSSLVPNClient.exe), zaloguj się na portal wsparcia Fortinet i przejdź do Pobieranie oprogramowania układowego > FortiClient > wybierz_swoją_wersję_VPN > FortinetClientTools.zip. Kliknij HTTPS, aby pobrać plik ZIP. Rozpakuj i wyodrębnij plik FortiSSLVPNClient.exe (możesz go znaleźć w folderze SSLVPNcmdline) w lokalizacji dostępnej dla agenta logowania do systemu Windows ADSelfService Plus. Miejsce, w którym zainstalowano plik FortiSSLVPNClient.exe, musi być podane jako Ścieżka klienta VPN. Przykład:
      C:\FortiClient\FortiSSLVPN\x86\FortiSSLVPNClient.exe
    • Check Point VPN: C:\Program Files (x86)\CheckPoint\Endpoint Connect\trac.exe
    • SonicWall NetExtender: C:\Program Files (x86)\Sonicwall\SSL-VPN\NetExtender\necli.exe
    • OpenVPN: C:\Program Files (x86)\Sophos\Sophos ssl client\bin\openvpn.exe
    • Cisco IPSec: C:\Program Files (x86)\Cisco\Cisco IPSec\vpnclient.exe

    Lokalizacja klienta VPN musi być jednolicie utrzymywana na wszystkich maszynach użytkowników. W przypadku korzystania z niestandardowego dostawcy VPN, prosimy o kontakt z zespołem wsparcia dostawcy VPN, aby dowiedzieć się, jaka nazwa klienta jest używana w interfejsie wiersza poleceń i podać jego lokalizację jako lokalizację klienta.

    Dla Custom VPN dostępne są makra (%user_name%, %password%, itd.) w Rozkazie Połączenia/Rozłączenia VPN. (Uwaga: składnia dla Rozkazu Połączenia/Rozłączenia VPN różni się w zależności od używanego dostawcy VPN.)

    Przykład: connect -s adsspvpn -h %servername%:%portno% -u %user_name%:%password%

  10. Kliknij Zapisz.

Ustawienia specyficzne dla dostawcy VPN

Są to ustawienia specyficzne dla dostawców VPN, które pozwalają administratorom na szczegółową kontrolę nad połączeniami VPN. Specyficzne dla dostawcy ustawienia dla VPN wspieranych przez ADSelfService Plus są przedstawione poniżej.

Fortinet

Cisco Anyconnect VPN

Windows Native VPN

Open VPN

Uwaga: Po zaktualizowaniu nowego hasła w pamięci podręcznej, VPN zostanie rozłączony, a tymczasowy plik zostanie automatycznie usunięty, co chroni poświadczenia konta użytkownika.

Custom VPN

Makra VPN dostępne w ADSelfService Plus

Uwaga: Wszystkie wrażliwe informacje, takie jak poświadczenia konta usługi lub klucz wstępnie udostępniony używany dla Windows Native VPN, będą przechowywane w bazie danych ADSelfService Plus jako zaszyfrowany ciąg, który zostanie dynamicznie wysłany do agentów logowania Windows na żądanie. Może być odszyfrowany tylko przez ważnego agenta logowania Windows.

Połączenie VPN zostanie automatycznie rozłączone po zaktualizowaniu pamięci podręcznej nowym hasłem, zapewniając, że połączenie VPN nie będzie niewłaściwie wykorzystywane do uzyskiwania dostępu do jakiegokolwiek zasobu.

Aktualizacja pamięci podręcznej poświadczeń bez klienta VPN

Pamięć podręczna poświadczeń może być aktualizowana bez VPN, jeśli Twoja organizacja nie ma infrastruktury VPN lub korzysta z dostawcy VPN, który nie jest obsługiwany przez ADSelfService Plus.

Przebieg procesu

Jeśli Aktualizuj pamięć podręczną poświadczeń bez klienta VPN jest włączona,

Obraz przedstawiający listę obsługiwanych klientów VPN

  1. Tożsamość użytkownika jest weryfikowana za pomocą MFA, a prośba o zresetowanie hasła jest wysyłana do ADSelfService Plus, który aktualizuje nowe hasło w AD.
  2. Po zaktualizowaniu nowego hasła w AD lokalna pamięć podręczna na komputerach użytkowników jest automatycznie aktualizowana nowym hasłem.

Kroki konfiguracji

  1. Zaloguj się do ADSelfService Plus jako administrator.
  2. Przejdź do Konfiguracja > Narzędzia administracyjne > GINA/Mac/Linux (Ctrl+Alt+Del).
  3. Kliknij Aktualizuj pamięć podręczną poświadczeń Windows.

    4. Obraz przedstawiający listę obsługiwanych klientów VPN

  4. Ustaw przycisk przełącznika na Włącz aktualizację pamięci podręcznej poświadczeń
  5. Wybierz Aktualizuj pamięć podręczną poświadczeń bez klienta VPN
  6. Kliknij Zapisz.

Uwaga: Jeśli obie opcje (aktualizacja pamięci podręcznych Windows za pośrednictwem i bez klienta VPN) są włączone, najpierw zostanie podjęta próba aktualizacji za pomocą VPN. W przypadku niepowodzenia, zostanie podjęta próba aktualizacji pamięci podręcznych bez VPN.

Aktualizacja pamięci podręcznej bez łączenia się z AD za pomocą VPN może mieć pewne ograniczenia wpływające na to, jak aplikacje pobierają wrażliwe dane przy użyciu DPAPI. Obejmuje to aplikacje, które korzystają z haseł i danych automatycznego uzupełniania formularzy, takie jak Internet Explorer i Google Chrome, hasła sieciowe przechowywane w Menedżerze poświadczeń, klucze prywatne dla systemu szyfrowania plików (EFS) oraz SSL/TLS w Internet Information Services.

Na przykład hasła zapisane w przeglądarki Chrome są przechowywane i pobierane za pomocą DPAPI, co wymaga, aby klient był połączony z AD podczas aktualizacji pamięci podręcznej hasła. Jeśli pamięć podręczna jest aktualizowana bez połączenia VPN z AD, Chrome nie będzie mogła pobrać zapisanych informacji użytkownika, aż do następnego połączenia komputera z AD.

Zalecamy, aby wybrać opcję Aktualizuj pamięć podręcznych poświadczeń bez klienta VPN tylko wtedy, gdy Twoja organizacja nie ma dostawcy VPN wspieranego przez ADSelfService Plus do aktualizacji pamięci podręcznym poświadczeń.

Aktualizacja pamięci podręcznych poświadczeń bez VPN jest obsługiwana tylko na serwerach Windows działających na Windows Server 2008 R2 i nowszych oraz na klientach Windows działających na Windows 7 i nowszych.

Następny temat
Przejdź do następnego

Thanks!

Your request has been submitted to the ADSelfService Plus technical support team. Our technical support people will assist you at the earliest.

 

Need technical assistance?

  • Enter your email ID
  • Talk to experts
  •  
     
  •  
  • By clicking 'Talk to experts' you agree to processing of personal data according to the Privacy Policy.

© 2024, ZOHO Corp. Wszelkie prawa zastrzeżone.