Active Directory-Kennwortänderungen mit GlobalProtect

Active Directory-Kennwortänderungen mit GlobalProtect

172740
Created On 09/25/18 17:36 PM - Last Modified 01/18/23 20:46 PM


Symptom


AD Richtlinien und Kennwörter

Es gibt häufig Situationen, in denen Active Directory ( ) Richtlinien erfordern, dass Benutzer Kennwörter AD ändern, z. B. wenn sich ein Benutzer zum ersten Mal mit einem temporären Kennwort anmeldet, wenn das Kennwort eines Benutzers abläuft oder wenn ein Benutzer ein Kennwort vergisst. Da Unternehmen ihre Active Directory-Infrastruktur in der Regel nicht über das Internet verfügbar machen, haben Remotebenutzer möglicherweise nicht den Zugriff, den sie benötigen, um ihre Kennwörter in diesen Situationen zu AD aktualisieren.

Environment


  • PAN-OS
  • GlobalProtect (GP)

Cause


Kennwortänderung für remote-Benutzer aktivieren

  • GlobalProtect3.1 und frühere Versionen bieten keine nativ Unterstützung, AD um  das Kennwort eines Benutzers zu ändern oder zu aktualisieren.
  • In diesem Dokument wird erläutert, wie Sie alternative Methoden verwenden und Remotebenutzern ermöglichen können, ihre Active Directory-Kennwörter über einen Tunnel zu GlobalProtect ändern.

Resolution


Problemumgehungen mit GlobalProtect VPN Tunnel

GlobalProtect3.1 und frühere Versionen bieten keine nativ Unterstützung, AD um  die Passwort. Sie können jedoch alternative Authentifizierungsmethoden neben Active Directory konfigurieren, mit denen Remotebenutzer einen Tunnel einrichten GlobalProtect VPN können. Sobald der Tunnel eingerichtet wurde und Benutzer das Active Directory des Unternehmens erreichen können, können sie ihr Kennwort auch bei Remotearbeit ändern.

GlobalProtectunterstützt zwei Konfigurationsoptionen, die Remotebenutzern mit dem erforderlichen Zugriff zum
Ändern ihres AD Kennworts ermöglichen:
  1. A Voranmeldungsverbindungsmethode, die einen Tunnel auf Maschinenebene VPN mithilfe eines Maschinenzertifikats erstellt.
  2. GlobalProtect Authentifizierungsüberschreibung, die die Cookie-basierte Authentifizierung ermöglicht.

Mit einer dieser Optionen können Sie verhindern, dass Remotebenutzer gesperrt werden, wenn sie ihr Kennwort vergessen oder wenn ihr Kennwort abläuft.

A Remotebenutzer können versuchen, sein Kennwort zu 2 verschiedenen Zeiten zu ändern oder zu aktualisieren:

  1. Zum Zeitpunkt der Anmeldung Windows-system
  2. Nach dem Einloggen in des Windows-Systems

 

Aktivieren der remote-Benutzer, Kennwort bei Windows-Anmeldung ändern

Die Voranmeldung ist eine der verbindungsmethoden, die von unterstützt GlobalProtect wird. Die Voranmeldung ermöglicht GlobalProtect die Einrichtung eines Tunnels mithilfe eines VPN Computerzertifikats auf dem Endpunkt des Benutzers (Computer, Laptop oder Notizbuch). Diese Verbindungsmethode richtet einen Voranmeldungstunnel unmittelbar nach dem Hochfahren des Systems und vor der Anmeldung des Benutzers ein. Wenn auf das Unternehmen AD über diesen Voranmeldetunnel zugegriffen werden kann, können sich Remotebenutzer mit einem temporären Kennwort bei der Domäne anmelden oder die Option Kennwort ändern verwenden, die nativ auf dem Windows-Anmeldebildschirm verfügbar ist, um ihre Kennwörter zu aktualisieren.

 
Diese Option ist besonders nützlich, wenn ein Remotebenutzer die Active Directory-Anmeldeinformationen vergisst und sich nicht einmal beim Windows-System anmelden kann. Ohne den Voranmeldungstunnel kann sich der Remotebenutzer nicht mit dem neuen Kennwort bei der Domäne anmelden und anschließend das Kennwort aktualisieren, selbst wenn der Administrator das Kennwort des Benutzers zurücksetzt.
Weitere Informationen zur Pre-Logon Connect-Methode finden Sie unter Remotezugriff VPN mit Voranmeldung.
 
Aufgrund der Änderungen, die Microsoft an der Windows-Anmeldung und dem Anmeldeinformationsanbieter-Framework vorgenommen hat, ist die Endbenutzererfahrung, um ihr Kennwort zum Zeitpunkt der AD Windows-Anmeldung remote zu ändern, in Windows 7 und Windows 8 / Windows 10 anders.
 

Kennwortändern AD unter Windows 7:

Unter Windows 7 GlobalProtect umschließt der Anmeldeinformationsanbieter den systemeigenen Windows-Anmeldeinformationsanbieter und bietetdem Endbenutzer eine systemeigene Windows-Anmeldeerfahrung. So benutzer können login, wie sie normalerweise tun und jedespolicy Passwort, das durch AD angewendet wird angewendet und Benutzer wird über die Passwort-Anforderungen wie üblich benachrichtigt.
 

Kennwortändern AD unter Windows 8 und 10:

Unter Windows 8 und Windows 10 ist das Ändern des Kennworts jedoch nicht verfügbar, wenn BenutzerGlobalProtect als Anmeldeoption auswählen. Benutzer müssen Windows als Standard-Anmeldeoption festlegen, bevor sie ein temporäres Kennwort verwenden, und anschließend ihr Kennwort AD ändern, während sie sich remote AD anmelden.
 
GlobalProtect Single Sign On ( SSO ) schlägt fehl, nachdem der Benutzer Windows als Standard-Anmeldeoption festgelegt hat. Der Benutzer muss sich bei Windows abmelden und dann als Anmeldeoption auswählen, während er GlobalProtect sich bei Windows anmeldet, um wieder an die Arbeit zu GlobalProtect SSO gehen.
 
Weitere Informationen SSO GlobalProtect finden Sie unter Single Sign-On ( SSO )GlobalProtect
 

Aktivieren der remote-Benutzer, Kennwort zu ändern, nach der Anmeldung an Windows

Wenn sich der Remotebenutzer die Anmeldeinformationen merkt, AD das Kennwort jedoch abgelaufen ist, kann sich der Benutzer weiterhin mit zwischengespeicherten Anmeldeinformationen beim Windows-System anmelden. Die Authentifizierung für das Portal oder Gateway schlägt jedoch fehl, da das AD Kennwort abgelaufen ist. In diesem Szenario können Sie die GlobalProtect Authentifizierungsüberschreibungsfunktion verwenden (in PAN OS 7.1 und GlobalProtect 3.0 eingeführt). Diese Funktion ermöglicht es GlobalProtect Portalenund GlobalProtect Gateways, die Anforderungen des Authentifizierungsprofils zu überschreiben und stattdessen Benutzer mit einem Cookie zu authentifizieren. Um diese Option verwenden, müssen Sie Folgendes tun:
  1. Konfigurieren Sie das GlobalProtect Portal, um ein Cookie zu generieren, und akzeptieren Sie das Cookie für die Authentifizierung.
  2. Konfigurieren Sie mindestens ein GlobalProtect Gateway, um das Cookie für die Authentifizierung zu akzeptieren.
  3. Legen Sie die Lebensdauer des Cookies so lange fest, wie Sie möchten, dass sich der Benutzer auch nach Ablauf des Kennworts des Benutzers bei diesem Gateway anmelden kann.

Mit dieser Konfiguration kann ein Remotebenutzer, selbst wenn das Kennwort abgelaufen ist, weiterhin über das Cookie mit diesem Gateway verbunden werden, solange es noch gültig ist. Nachdem der Tunnel eingerichtet wurde, können Remotebenutzer das Active Directory des Unternehmens erreichen und ihre Kennwörter ändern, indem sie Strg + Alt + Löschen drücken und die Option Kennwort ändern verwenden.

Weitere Informationen zur Cookie-basierten Authentifizierung finden Sie unter Erweiterte Zwei-Faktor-Authentifizierung.

 

Problemumgehungen, damit Remotebenutzer AD Kennwörter mithilfe von GlobalProtect

Obwohl GlobalProtect Active Directory-Kennwortänderungen nicht nativ unterstützt werden, können Sie konfigurieren,
GlobalProtect damit Remotebenutzer ihre Active Directory-Kennwörter ändern können.
  • Die Voranmeldungsverbindungsmethode ist besonders nützlich, wenn sich der Benutzer zum ersten Mal bei der Domäne anmeldet oder über ein temporäres Kennwort für die Domäne verfügt.
  • Die Authentifizierungsüberschreibung ist nützlich, wenn das Kennwort des Benutzers abgelaufen ist und der Benutzer sich weiterhin mit zwischengespeicherten Anmeldeinformationen am Endpunkt anmelden kann.

 

 

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGYCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language