解决方法使用GlobalProtectVPN隧道
GlobalProtect3.1 及更早版本本身不支持更改或更新用户的AD密码。 但是,您可以配置除 Active Directory 之外的备用身份验证方法,这将启用远程用户建立一个GlobalProtectVPN隧道。 建立隧道后,用户可以访问企业 Active Directory,他们甚至可以在远程工作时更改密码。
GlobalProtect支持两个配置选项,使远程用户具有必要的访问权限
改变他们的AD密码:
- A 创建机器级别的登录前连接方法VPN使用机器证书的隧道。
- GlobalProtect 启用基于 cookie 的身份验证的身份验证覆盖。
使用这些选项之一,您可以防止远程用户在忘记他们的密码时被锁定密码或密码过期时。
A 远程用户可能会在 2 个不同的时间尝试更改或更新他们的密码:
- 登录Windows系统时
- 登录Windows系统后
允许远程用户在 Windows 登录时更改密码
登录前是支持的连接方法之一GlobalProtect. 登录前启用GlobalProtect到建立一个VPN在用户端点(计算机、笔记本电脑或笔记本电脑)上使用机器证书的隧道。 这个连接方法在系统启动后和用户之前立即建立登录前隧道登录。 如果企业AD可以通过这个预登录隧道访问,远程用户可以登录到域临时密码或使用 Windows 登录屏幕上本机可用的更改密码选项更新他们的密码。
如果远程用户忘记了 Active Directory 凭据并且无法访问,则此选项特别有用登录甚至Windows系统。 没有预登录隧道,即使管理员重置了用户的密码,远程用户不能使用新密码登录域并随后更新密码。
由于 Microsoft 对 Windows 登录和凭据提供程序框架所做的更改,改变他们的最终用户体验ADWindows 登录时的远程密码与Windows 7 和 Windows 8 / Windows 10。
改变ADWindows 7 密码:
在 Windows 7 上,GlobalProtect凭据提供程序包装本机 Windows 凭据提供程序并提供具有本机 Windows 登录体验的最终用户。 这样用户就可以像往常一样使用任何密码登录policy这是由AD得到应用并像往常一样通知用户密码要求。
改变ADWindows 8 和 10 上的密码:
但是在 Windows 8 和 Windows 10 上,如果用户选择更改密码的功能不可用GlobalProtect作为登录选项。 用户必须先将 Windows 设置为默认登录选项,然后才能使用暂时的AD密码,然后更改他们的AD远程登录时的密码。
GlobalProtect 单点登录 (SSO ) 将在用户将 Windows 设置为默认登录选项后失败。 用户必须从 Windows 注销,然后选择GlobalProtect作为登录选项,同时登录到 Windows 以获取GlobalProtectSSO再次工作。
允许远程用户在登录到 Windows 后更改密码
如果远程用户记得AD凭据但密码已过期,用户仍然可以使用缓存的凭据登录 Windows 系统。 但是,对门户或网关的身份验证会失败是因为AD密码已过期。 在这种情况下,您可以使用GlobalProtect验证覆盖功能(在PAN OS7.1 和GlobalProtect3.0)。 此功能使GlobalProtect门户网站和GlobalProtect网关覆盖身份验证配置文件要求并使用饼干代替。 要使用此选项,您必须执行以下操作:
- 配置GlobalProtect门户生成 cookie 并接受 cookie 进行身份验证。
- 至少配置一个GlobalProtect网关接受 cookie 进行身份验证。
- 将 cookie 的生命周期设置为您希望用户能够登录此网关的时间即使在用户密码过期之后。
使用此配置,即使密码已过期,远程用户仍然可以连接到只要 cookie 仍然有效,此网关就会使用它。 隧道建立后,远程用户可以到达企业 Active Directory 并通过按 Ctrl + Alt + Delete 并使用更改密码选项。
有关基于 cookie 的身份验证的更多信息,请参阅增强型双因素验证.
使远程用户能够更改的解决方法AD密码使用 GlobalProtect
虽然GlobalProtect本身不支持 Active Directory 密码更改,您可以配置
GlobalProtect使远程用户能够更改他们的 Active Directory 密码。
- 如果用户登录域是为了第一次或有域的临时密码。
- 如果用户的密码已过期并且用户仍然能够使用缓存的凭据登录到端点。