ADSelfService Plus w akcji

Jak aktualizować buforowane poświadczenia dla użytkowników zdalnych za pomocą ADSelfService Plus

Obsługa resetowania haseł do Windows, macOS i Linux OS

Problemy użytkowników zdalnych związane z hasłami

Pracownicy zdalni mogą pracować w innych strefach czasowych niż zespół IT. W takich wypadkach przez godziny pozostawają

w zawieszeniu, bez możliwości zalogowania się do swojego urządzenia lub zarejestrowana swoich godzin pracy. Jest to złe z punktu widzenia produktywności. ADSelfService Plus pozwala resetować hasło Active Directory (AD) dla swoich użytkowników zdalnych poprzez wymuszoną aktualizację buforowanych poświadczeń do domeny na ich urządzeniach za pośrednictwem sieci VPN.

cached-credentials-update-diagram

ADSelfService Plus występuje w pakiecie z agentem logowania, który umieszcza łącze do Reset hasła/ Odblokowanie konta na ekranie zmiany hasła. Kiedy użytkownik klika łącze do resetowania hasła, ustanawia bezpieczne połączenie z usługą AD za pośrednictwem sieci VPN oraz aktualizuje lokalne buforowane poświadczenia.

Zdalne resetowanie haseł: Jak to działa?

  1. ADSelfService Plus umieszcza łącze Reset hasła/ Odblokowanie konta na ekranie logowania w urządzeniach z systemem Windows, macOS i Linux, aby umożliwić samoobsługowe resetowanie hasła. Kliknięcie tego łącza spowoduje otworzenie portalu do resetowania.

    remote-password-reset-how-does-it-work

  2. Użytkownicy są zobowiązani potwierdzić tożsamość za pomocą jednej z metod wymuszonego uwierzytelniania, na przykład jednorazowych haseł na bazie SMS, e-mailowych haseł jednorazowych, Google Authenticator, DUO Security oraz RSA SecurID.

    enforced-authentication-methods

    Ważne:

    1. Użytkownicy muszą być zapisani w narzędziu ADSelfService Plus, aby móc korzystać z samoobsługowych funkcji resetu hasła oraz odblokowania konta.
    2. Zarejestrowanie się do jednorazowego procesu, w którym użytkownicy wprowadzają numer telefonu komórkowego i adres e-mail, ustalają odpowiedzi na pytania zabezpieczające oraz przekazują inne szczegóły w ADSelfService Plus, aby zarejestrować się na potrzeby samoobsługowego zarządzania hasłem. Dowiedz się, jak zarejestrować użytkowników.
  3. Po pomyślnej weryfikacji ich tożsamości użytkownicy mają prawo zresetować zapomniane hasła do domeny AD.

    Porada: Zadbaj o ustanowienie bezpiecznego hasła. Użyj Funkcja wymuszania zasad dotyczących haseł, aby wymusić stosowanie silnych haseł użytkownika ze znakami specjalnymi oraz bez używania słów ze słownika i schematów.

    password-policy-enforcer-screen

    • ADSelfService Plus resetuje hasło AD i ostrzega agenta logowania o pomyślnym zakończeniu.
    • Agent logowania ustanawia bezpieczne połączenie z usługą AD za pośrednictwem klienta VPN i inicjuje żądanie dotyczące aktualizacji buforowanych poświadczeń lokalnych.
    • Po pomyślnym zatwierdzeniu żądania przez AD buforowane poświadczenia są lokalnie aktualizowane w urządzeniu użytkownika.

Instalowanie agenta logowania ADSelfService Plus w komputerach użytkowników

Zanim użytkownicy zresetują zapomniane hasło na ekranie logowania, administratorzy muszą zainstalować agenta logowania w komputerach użytkowników w jeden z następujących sposobów:

  1. 1. Za pomocą konsoli administratora ADSelfService Plus
    1. Pobierz i zainstaluj ADSelfService Plus.
    2. Przejdź do karty Konfiguracja → Narzędzia administracyjne → GINA/Mac/Linux.
    3. Kliknij polecenie Instalacja GINA/Mac/Linux.
    4. W obszarze Nowa instalacja wybierz żądaną Domenę z listy rozwijanej.
    5. Kliknij Dodaj jednostki organizacyjne, aby wybrać jednostki organizacyjne, dla których należy zainstalować agenta logowania. Kliknij polecenie Pobierz komputery.
    6. A teraz wybierz komputery, do których należy przesłać agenta logowania.

      installing-the-adselfService-plus-logon-agent

    7. Kliknij polecenie Instaluj.
  2. 2. Instalacja za pośrednictwem obiektu GPO

    Kliknij tutaj, aby poznać kolejne czynności.

  3. 3. Instalacja przy użyciu SCCM

    Kliknij tutaj, aby poznać kolejne czynności.

  4. 4. Instalacja ręczna
    1. Wklej pakiet MSI (Lokalizacja: C:\ManageEngine\ADSelfService Plus\bin) w urządzeniu klienta.
    2. Uruchom Kreator konfiguracji oprogramowania klienckiego i wykonaj wymagane czynności.

Wyposaż zdalnych użytkowników w hasła samoobsługowe.