- Быстрые ссылки
- Многофакторная аутентификация
- Многофакторная аутентификация Active Directory
- Многофакторная аутентификация конечной точки
- Многофакторная аутентификация входа в Windows
- Двухфакторная аутентификация
- MFA в автономном режиме
- Многофакторная аутентификация для входа через VPN
- Многофакторная аутентификация для входа через OWA
- Многофакторная аутентификация для пользователей Microsoft 365
- Многофакторная аутентификация для входа через VPN
- Многофакторная аутентификация для облачных приложения
- Управление паролями
- Самостоятельный сброс пароля
- Самостоятельное разблокирование учетной записи
- Синхронизация паролей
- Средство принудительного применения политики паролей
- Изменение пароля домена через веб-интерфейс
- Обновление кэшированных учетных данных
- Самостоятельное управление паролями с экранов входа в систему
- Автоматическая сброс пароля
- Единый вход
- Средство обеспечения соблюдения политики в отношении паролей
- Организация удаленной работы
- Безопасность
Обновление кэшированных учетных данных Windows
Удаленные пользователи часто испытывают трудности при сбросе устаревших паролей и обновлении устаревшего кэша учетных данных своего компьютера, поскольку у них отсутствует подключение к Active Directory. А в случаях, когда они теряют доступ к компьютеру из-за истекшего пароля, они не могут обратиться в службу поддержки за помощью, в результате чего их производительность падает.
ADSelfService Plus — решение для защиты персональных данных с адаптивной многофакторной аутентификацией (MFA), SSO и управлением паролями. Оно позволяет пользователям безопасно сбрасывать пароли Active Directory даже без прямого подключения к AD. Программа автоматически обновляет кэшированные учетные данные домена на компьютерах Windows удаленно через VPN-клиент. При необходимости кэшированные учетные данные можно обновлять и без VPN, если в организации нет инфраструктуры VPN или используется неподдерживаемый поставщик VPN.
Что такое кэшированные учетные данные Active Directory?
Когда пользователь впервые входит в домен Active Directory, учетные данные для входа кэшируются локально на его компьютере. Эти кэшированные учетные данные обновляются каждый раз, когда компьютер подключается к Active Directory, т. е. к корпоративной сети, во время входа в систему. Когда удаленный пользователь, не подключенный к корпоративной сети, входит в систему на своем компьютере, его учетные данные локально проверяются на основе кэшированных учетных данных, хранящихся на его компьютере. Если проверка пройдена успешно, они получают доступ к компьютеру. Проще говоря, кэшированные учетные данные позволяют пользователям входить в систему своих компьютеров, даже если у них нет возможности обратиться к контроллеру домена Active Directory для аутентификации.
Могут ли кэшированные учетные данные стать причиной блокировки учетной записи?
Серьезной проблемой, с которой сталкиваются удаленные пользователи, является несоответствие, вызванное устаревшими кэшированными учетными данными, которое блокирует им доступ к своему компьютеру. Несоответствия в кэшированных учетных данных могут возникать, когда пользователи используют более одного устройства для работы. Рассмотрим сотрудника, работающего в гибридной модели, использующего два разных устройства - настольный компьютер в офисе и ноутбук дома. Допустим, сотрудник недавно сменил пароль Active Directory, работая в офисе на своем настольном устройстве, подключенном к домену. Кэшированные учетные данные ноутбука по-прежнему будут содержать старый пароль, поскольку устройство не подключено к корпоративной сети для обновления. Забыв об этом, сотрудник может попытаться войти в систему на своем ноутбуке, используя новый пароль, работая удаленно, и после нескольких попыток доступ может оказаться заблокированным.
В качестве альтернативы предположим, что после нескольких попыток сотрудник понимает, что на его ноутбуке все еще сохранен старый пароль, и продолжает использовать его при входе в систему. Однако в маловероятном случае, если сотрудник случайно принесет в офис свой ноутбук, он подключится к корпоративной сети, и кэшированные учетные данные обновятся без его ведома. Теперь сотрудник может по привычке вводить свой старый пароль при входе в систему и после нескольких попыток оказаться заблокированным.
Как обновить кэшированные учетные данные Windows без подключения к контроллеру домена
После каждого сброса или изменения пароля ADSelfService Plus обеспечивает обновление кэшированных учетных данных для удаленных пользователей, как с помощью VPN-клиента, так и без него. Он поставляется с клиентом GINA/поставщика учетных данных, также известным как агент входа в Windows, который позволяет удаленным пользователям выполнять безопасный самостоятельный сброс пароля прямо с экранов входа в систему и впоследствии принудительно обновлять кэшированные учетные данные своего компьютера Windows.
Как работает обновление кэшированных учетных данных Windows в ADSelfService Plus
С помощью VPN-клиента
Вот как работает обновление кэшированных учетных данных ADSelfService Plus через VPN для удаленных пользователей Windows.
- Когда удаленный пользователь забывает свой пароль Active Directory, он использует агент входа ADSelfService Plus для сброса пароля с экрана входа в систему.
- После того как пользователи подтвердят свою личность с помощью MFA и сбросят пароль, ADSelfService Plus обновит Active Directory, указав новый пароль.
- Новый пароль также отправляется в агент входа на компьютере пользователя.
- Агент входа автоматически устанавливает безопасное соединение с Active Directory через VPN и инициирует запрос на обновление локально кэшированных учетных данных.
- После успешного одобрения запроса службой Active Directory кэшированные учетные данные на компьютере пользователя автоматически обновляются.
Без использования VPN-клиента
Вот как работает обновление кэшированных учетных данных ADSelfService Plus для удаленных пользователей Windows без использования VPN.
- Когда удаленный пользователь забывает свой пароль Active Directory, он использует агент входа ADSelfService Plus для сброса пароля с экрана входа в систему.
- После того как пользователи подтвердят свою личность с помощью MFA и сбросят пароль, ADSelfService Plus обновит Active Directory, указав новый пароль.
- После обновления нового пароля в Active Directory агент входа автоматически обновляет локальный кэш на компьютерах пользователей, используя новый пароль.
Версии Windows, поддерживающие обновление кэшированных учетных данных с помощью ADSelfService Plus
Версии Windows Server: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 и Windows Server 2008
Версии клиентской ОС Windows: Windows 11, Windows 10, Windows 8.1, Windows 8, Windows 7 и Windows Vista
Поставщики услуг VPN, поддерживаемые ADSelfService Plus для обновления кэшированных учетных данных Windows
- Fortinet
- Cisco IPSec
- Cisco AnyConnect
- Собственная VPN Windows
- SonicWall NetExtender
- Checkpoint EndPoint Connect
- SonicWall Global VPN
- OpenVPN
- Настраиваемый VPN
Преимущества обновления кэшированных учетных данных Windows с помощью ADSelfService Plus
Сокращение количества обращений для сброса пароля
Предоставьте удаленным пользователям возможность самостоятельно сбрасывать пароли и обновлять кэшированные учетные данные, а также ограничьте количество обращений в службу поддержки, связанных с паролями.
Повышение эффективности сотрудников
Предоставьте удаленным пользователям возможность быстро восстановить доступ к своим компьютерам, даже если они забудут свои пароли, что поможет избежать серьезных перебоев в работе.
Снижение затрат
Сброс паролей через службу поддержки и подключение компьютеров к корпоративной сети для обновления кэшированных учетных данных - это трудоемкие и дорогостоящие процессы, которые можно с легкостью устранить с помощью ADSelfService Plus.
Особенности ADSelfService Plus
Самостоятельное управление паролями
Избавьте пользователей Windows AD от длительных звонков в службу поддержки, предоставив им возможность самостоятельного сброса пароля и разблокировки учетной записи.
Многофакторная аутентификация
Включите контекстную многофакторную аутентификацию с 20 различными факторами для входа в конечные точки, приложения, VPN, OWA и RDP.
Одно удостоверение с возможностью единого входа
Обеспечьте беспроблемный доступ одним щелчком мыши к более чем 100 облачным приложениям. С помощью корпоративного единого входа пользователи могут получать доступ ко всем своим облачным приложениям (SSO), используя свои учетные данные Windows AD.
Уведомления об истечении срока действия пароля/учетной записи
Уведомляйте пользователей Windows AD о приближающемся истечении срока действия их пароля и учетной записи с помощью уведомлений по электронной почте и SMS.
Синхронизация паролей
Синхронизируйте изменения паролей или учетных записей пользователей Windows AD в разных системах в автоматическом режиме, включая Microsoft 365, Google Workspace, IBM iSeries и т. п.
Средство принудительного применения политики паролей
Надежные пароли противостоят различным хакерским атакам. Обеспечьте соблюдение пользователями Windows AD правил в отношении паролей, указав требования к сложности паролей.