Archive
を使用した Active Directory パスワードの変更 GlobalProtect

を使用した Active Directory パスワードの変更 GlobalProtect

2024-11-22 を使用した回避策GlobalProtectVPNトンネル GlobalProtect3.1 以前のバージョンでは、ユーザーのADパスワード。 ただし、有効にする Active Directory 以外の代替認証方法を構成できます。を 確立 する ため の リモート ユーザー globalpro

Related articles

Best Unblocked Games for School What is Internet Key Exchange (IKE), and how does it work? Best Android VPN 2024: Top 5 Services for Android Tablets & Phones Build a migration plan with Azure Migrate NordVPN Free Trial in Hong Kong: How to Get it in 2024 Where Are Steam Games Stored and How to Change Their Location

を使用した回避策GlobalProtectVPNトンネル

GlobalProtect3.1 以前のバージョンでは、ユーザーのADパスワード。 ただし、有効にする Active Directory 以外の代替認証方法を構成できます。を 確立 する ため の リモート ユーザー globalprotectvpn トンネル 。 トンネル が 確立 さ れる と 、 ユーザー はエンタープライズ Active Directory に 到達 する と 、 リモート で 作業 し て いる とき で も パスワード を 変更 でき ます 。

GlobalProtectに必要なアクセス権を持つリモート ユーザーを有効にする 2 つの構成オプションをサポートします。
彼らを変えるADパスワード:

  1. A マシンレベルを作成するログオン前接続メソッドVPNマシン証明書を使用したトンネル。
  2. GlobalProtect Cookie ベースの認証を有効にする認証オーバーライド。

これらのオプションのいずれかを使用すると、リモート ユーザーが自分の名前を忘れたときにロックアウトされるのを防ぐことができます。パスワードまたはパスワードの有効期限が切れたとき。

a リモート ユーザー は 、 次 の 2 つ の 時点 で パスワード を 変更 また は 更新 しよう と する 場合 is あり が あり ます 。

  1. Windowsシステムへのログイン時
  2. Windows システムにログインした後

 

リモート ユーザーが Windows ログイン時にパスワードを変更できるようにする

ログオン前に よっ て サポート さ れ て いる 接続 方法 の 1 つ です 。 globalprotect . ログオン 前 の 有効 化 globalprotect にを 確立 する VPN ユーザー の エンド ポイント ( コンピューター 、 ラップトップ 、 また は ノートブック ) で マシン 証明 書 を 使用 し て トンネル を 作成 し ます 。 この接続方法は、システムの起動直後、ユーザーがログインする前にログオン前トンネルを確立します。ログイン し ます 。 企業 なら AD この ログオン 前 トンネル 経由 で アクセス できる ため 、 リモート ユーザー is ログイン は 次 の 方法 で ドメイン に ログイン でき ます 。一時的なパスワードを使用するか、Windows ログイン画面でネイティブに利用できる [パスワードの変更] オプションを使用しますパスワードを更新します。

 

このオプションは、リモート ユーザーが Active Directory の資格情報を忘れて、ログインできない場合に特に便利です。 Windows システム に も ログイン でき ます 。 管理 者 is ユーザー が ユーザー のパスワードがないため、リモート ユーザーは新しいパスワードを使用してドメインにログインできず、その後、パスワード。

 

Microsoft が Windows ログインと資格情報プロバイダー フレームワークに加えた変更により、エンド ユーザー エクスペリエンス を 変更 する adwindows ログイン 時 の パスワード is 異なる が リモート で 異なるWindows 7 および Windows 8 / Windows 10。

 

変化ADWindows 7 のパスワード:

Windows 7 では、GlobalProtect資格情報プロバイダーは、ネイティブの Windows 資格情報プロバイダーをラップし、ネイティブの Windows ログイン エクスペリエンスを持つエンド ユーザー。 したがって、ユーザーは通常どおりにログインでき、任意のパスワードを使用できますpolicyそれはによって強制されますAD適用され、通常どおりパスワード要件がユーザーに通知されます。

 

変化ADWindows 8 および 10 のパスワード:

ただし 、 Windows 8 および Windows 10 で は 、 ユーザー が 選択 し た 場合 、 パスワード を 変更 する 機能 is 利用 は 利用 でき ませ ん 。GlobalProtectサインインオプションとして。 ユーザーは、Windows を使用する前に、既定のサインイン オプションとして Windows を設定する必要があります。一時的ADパスワードを変更し、その後変更するADリモートログイン時のパスワード。

 

GlobalProtect シングル・サインオン (SSO ) は、ユーザーが既定のサインイン オプションとして Windows を設定すると失敗します。 ユーザーWindows からログアウトする必要があります。GlobalProtect Windows にサインインする際のサインイン オプションとしてGlobalProtectSSO再び働くために。

 

 

Windows へのログイン後にリモート ユーザーがパスワードを変更できるようにする

リモート ユーザーがADクレデンシャルがありますが、パスワードの有効期限が切れていても、ユーザーは引き続きキャッシュされた資格情報を使用して Windows システムにログインします。 ただし、ポータルまたはゲートウェイへの認証は失敗する理由ADパスワードの有効期限が切れています。 このシナリオでは、GlobalProtect認証オーバーライド機能 (で導入PAN OS7.1 とGlobalProtect3.0)。 この機能により、GlobalProtectポータルとGlobalProtect認証プロファイル要件をオーバーライドし、ユーザーを代わりにクッキー。 このオプションを使用するには、次の手順を実行する必要があります。

  1. を 構成 し ます globalprotect ポータル で cookie を 生成 し 、 認証 の ため に cookie を 受ける 入れる ます 。
  2. 少なくとも 1 つを構成するGlobalProtectゲートウェイが認証用の Cookie を受け入れるようにします。
  3. ユーザー が この ゲートウェイ に ログイン できる 限り 、 Cookie の 有効 期間 を 設定 し ます 。ユーザーのパスワードの有効期限が切れた後でも。

この構成では、パスワードの有効期限が切れていても、リモート ユーザーは引き続き接続できます。 Cookie がまだ有効である限り、このゲートウェイは Cookie を使用します。 トンネルが確立されると、リモート ユーザーは到達できますエンタープライズ Active Directory にアクセスし、Ctrl + Alt + Delete を押してパスワードを変更します。パスワード オプション を 変更 し ます 。

Cookie ベースの認証の詳細については、次を参照してください。強化された 2 要素認証.

 

リモート ユーザーが変更できるようにするための回避策AD使用するパスワード GlobalProtect

それでもGlobalProtectActive Directory のパスワード変更をネイティブにサポートしていないため、構成できます。
GlobalProtectリモート ユーザーが Active Directory パスワードを変更できるようにします。

  • ログオン 前 の 接続 方法 は 、 ユーザー が ドメイン に ログイン し て いる 場合 に 特に 便利 です 。初めてまたはドメインの一時的なパスワードを持っています。
  • 認証 オーバーライド は 、 ユーザー の パスワード の 有効 期限 が 切れる て い て 、 ユーザー is まだ が まだキャッシュされた認証情報を使用してエンドポイントにログインします。