ADSelfservice Plus
弱密码检测工具中什么密码会定义为弱密码?可以自定义吗?
1) 什么样的密码会定义为弱密码? 弱密码用户报告通过将用户密码与超过100,000个常用弱密码列表进行比较,帮助您在Active Directory中查找弱密码。当它找到匹配项时,报告将显示用户的详细信息。 2)可以查看到这100000个弱密码吗? 可以,方法如下: a. 导航到安装目录bin文件夹 b. 定位到PasswordPatterns.txt,不要使用微软自带的notepad打开,可以使用Notepad++,emediter等等,即可查看。 3)可以自定义弱密码吗? ...
弱密码扫描工具下载链接及使用方法?
下载链接: https://www.manageengine.com/products/free-windows-active-directory-tools/free-active-directory-weak-password-finder.html?msg=success 使用方法: 打开ADManager Plus Free Tools,选择Other Tools—Weak Password Reports,如下图所示 ...
ADSSP中同一用户有两个账号,相同邮箱属性,两个账号可以正常使用ADSSP功能吗?
场景:ADSSP的,用户那边一个用户会有两个账号,一个办公一个生产,但是是属于同一个域,AD里两个账号的邮箱属性是同一个邮箱,电话也是一样,这样的话能注册和正常解锁重置不,两个账号能用同一个邮箱或MFA不? 答:可以,因为ADSSP默认是以samaccount为唯一属性作为登录依据,因为登录名不一样,可以正常登录使用产品的功能。(已在实际环境测试)
ADSSP的MFA许可可以单独购买,不购买用户数吗?
不能直接购买MFA的许可。因为在使用MFA之前需要配置策略、配置验证方式等,这些都是依托于用户的。用户数量需要大于或等于MFA的数量,否则会影响系统的使用。
客户有2个域,一个是放在内网,一个是在外网,两者无法互通。客户总共2000人,能买1个2000人的许可吗?还是要分别买2个1000人的许可?
如果安装的ADSSP可以同时和这两个域通信,即可以在ADSSP中发现并添加两个域,那购买1个2000的许可就行。如果不能同时加入,只能内网一个ADSSP,外网一个ADSSP,分别添加使用。
ADSSP在产品界面(或使用推送计划)推送GINA需要哪些前提条件?
1.必须在 ADSelfService Plus 中安装有效的 SSL 证书,并在如下界面更新配置数据。 2.客户端计算机必须连接到域网络。 3.在 ADSelfService Plus 中进行域配置时所提供凭据的服务账户,需要具有域管理员权限。 4.如果 ADSelfService Plus 作为 Windows 服务进行安装,服务账户需要配置具有域管理员权限的账号 5.ADSelfService Plus 服务器必须能够访问客户端计算机的admin$共享。 6.在要安装登录代理的 ...
ADSSP登录机器的MFA无法使用,导致用户无法登录电脑,如何解决?
1.可以用其他电脑连接到无法登录电脑的注册表(连接网络注册表),如下图所示: 2.在如下位置将Windows Logon MFA改为false,先让用户可以登录电脑后,再排查无法登录的原因。
如果用户绑定的MFA手机意外丢失或者用户更换了新的手机,用户该怎么MFA登录电脑和连VPN?
1. 如果是当天登录的话,管理员可以给用户提供备份码。备份码配置和查看方法如下图: 2. 之后如果是用户换了新手机,他可以登录到ADSSP用户平台重新登记注册下就可以了。
ADSSP可以设置某个验证方式为必填项吗?
可以的,在如下界面设置即可:
ADSSP为什么设置了短信验证,收到的却是密码而非验证码呢?
可能是因为勾选了如下设置的第5项,取消之后就可以正常发送验证码了。
ADSSP如何安装为服务?
Tips:安装了ADSSP之后,可以从控制台启动。但是为保证ADSSP产品不间断运行,建议安装为服务,并从服务启动: 1.如果之前已经从控制台启动,请先到安装目录bin文件夹,将产品关闭: a.浏览到安装目录bin文件夹,运行shutdown.bat b.同样在bin目录,运行InstallNTService.bat文件,即可安装为服务。 c.打开服务,刷新一下,可以看到ADSSP对应的服务,如下图所示,启动即可:
ADSSP密码同步功能如何配置?
前提: 1.两个域可以通信,都可以配置到安装ADSSP的域设置里面。 2.两个域中都有相同的账号以实现密码同步。 3.ADSSP中访问url、策略等基础配置已经完成。 配置: 1.将两个域配置到ADSSP中, 2.同步策略配置:添加应用--》选择Active Directory,进行对应配置 以上只能实现在产品层面的同步,即:登录ADSSP修改或者重置密码时可以同步。 3.如果想实现用户在ctrl alt ...
ADSSP-用户开机会弹窗提示Server unreachable,please check whether
弹窗报错截图: 解决方案: 通过排查,看到您开启了“使用登录脚本强制用户登记注册”了,而且您的验证方式选择的邮箱验证,因此,在域用户没有邮箱账号的时候,会有以上的提示,提示用户需要强制登记注册。因此我们做了以下操作: 2、在域控上删除了执行的脚本
ADSSP配置阿里云短信网关步骤
请参照附件~
ADSSP中的邮件服务器如何只使用TLS1.2?
1.在安装目录下的conf文件夹中的Wrapper.conf搜索:Dhttps.protocols= 2.改为Dhttps.protocols=TLSv1.2,仅有TLSv1.2 3.重启ADSSP服务后即可
如何确保admin账号的使用安全?
可以通过隐藏管理员账号并通过以下三种独有的方式登录管理员平台:
如何确保公网使用ADSSP安全?
建议: 1. 开启HTTPS协议,应用有效的SSL证书。 2. 通过安装在 DMZ 中的反向代理来托管应用程序,以确保安全访问。
如果启用SAML的单点登录,是不是就不需要MFA了?
ADSelfService Plus可以通过SAML单点登录(SSO)启用,也可以与多因素认证(MFA)一起启用,因此用户在通过身份提供商进行身份验证后,将通过多因素认证进行验证。
如何GPO修改域计算机Gina的注册表?
以下是使用 GPO(组策略对象)手动创建注册表项修改域计算机Gina注册表的详细步骤: 1. 打开组策略管理控制台并编辑 GPO: a. 在域控制器上,点击 “开始” 菜单,选择 “运行”,输入 “GPMC.MSC” 后点击 “确定”,打开组策略管理控制台 b. 右键点击相应的组织单位(OU)或域,选择 “创建并链接 GPO” 来创建一个新的 GPO,或者选择已有的 GPO 并点击 “编辑” 2. ...
GPO推Gina代理时的报错解决方案
问题: 如果通过GPO的方式下发代理后,并未能在用户机器上安装且没有任何代理日志生成。 可能原因: 您应该是在产品的中文状态下下载的脚本,脚本里面的中文在UTF-8的格式下不能正常使用,需要将其转换为ANSI的格式。转换完之后再去应用此脚本。
ADSSP如何调整邮件发送的频率?
1.报表模块--点击任意一个报表,如下图: 2.根据需求调整报表发送的时间即可:
用户使用ctrl alt del界面变更密码时,可以在ADSSP的报表中看到记录吗?
答:不会,只有通过ADSSP更改密码才会记录到对应的修改密码审计报表中。(包括web界面,GINA等只要通过ADSSP的都可以记录) 问:那如果想审计到这部分应该怎么查呢? 答:我们有专门的审计工具ADAudit Plus可以查询到相关审计记录:也可以在事件查看器里面搜索事件ID为4723的事件
ADSSP如何取消许可限制的邮件通知?
可以在如下位置取消通知或者对通知的上限进行设置:
ADSSP的报表没有数据,怎么处理?
根据报错可以看出是管理员的凭证有问题,可以到域设置中更新一下凭证,如下图,更新完成后即可看到数据。
ADSSP中VPN登录MFA可以使用的验证方式有哪些?
答:不是所有验证方式都可以用于VPN MFA,以下方式可以使用: 1.推送通知身份验证 2.指纹/Face ID身份验证 3基于时间的一次性密码身份验证 4.Google身份验证器 5.Microsoft Authenticator 6.Yubikey认证 7.短信验证码 8.邮件验证码 9.Zoho OneAuth OTP Authentication ...
outlook MFA
OWA MFA 配置文档: 英文版:https://www.manageengine.com/products/self-service-password/help/admin-guide/Configuration/Self-Service/steps-to-enable-mfa-for-vpn-owa-logins.html OWA MFA ...
ADSSP默认admin登录的TFA如何取消?
可以在如下位置取消: 取消勾选即可:
ADSSP接收验证码时可以把“选择邮箱或者手机号码”的部分取消吗?直接显示邮箱或者手机号
可以如下图方式设置:
ADSSP验证时接收的短信\邮箱验证码位数可以设置4位吗?
不能的,最少是6位,如下图所示可以设置:
ASSSP安装密码同步代理时报Error1001,如何解决?
报错截图如下: 解决思路: 1.因为报错显示无法连接到服务器,所以可以在安装密码同步代理这台服务器访问ADSSP,如果不能访问,则对应排查端口、解析等问题。 2.待可以访问ADSSP后,再次尝试。如果还是不行,可以将安装代理时的服务器名称改为ip地址再尝试。
ADSSP重置密码时如下显示,怎么排查?
报错截图:域的密码策略是12位的,这里显示了8位,重置时填写8位过不去 解决思路: 1.查一下本地策略的密码长度,是否已经和域的密码策略同步 2.ADSSP里面密码策略强化,看看策略有几个,是不是某个策略中的密码强化开启了,如下图:
机器登录MFA时报身份验证服务器不可达
通常来讲,可以通过修改或添加客户端注册表中的条目来解决,确保做MFA的机器和ADSSP的信息对应。 客户端注册表路径(如下图显示):Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Zoho Corporation Pvt. Ltd.\ADSelfService Plus Client Software
ADSSP-设置技术员的密码策略
问题:是否能设定技术员或者admin账号的密码复杂度 请参考以下: 应用范围:技术员和admin账户
ADSSP-是否能禁用某些用户占用许可
可以。 1、在以下截图,可释放禁用账户、已删除账户、休眠用户的许可 2、针对某些用户选择限制访问,这个用户则无法登录ADSSP,就不会占用许可了 3、也可设置自动化任务,定期释放许可
ADSSP-高级选项的生效范围
高级里的设置针对所有策略生效,暂无法针对test或者某一个策略生效。
ADSSP-安装GINA提示没权限
客户环境 1、使用本地administrator账户登录机器 2、手动安装GINA插件,依旧提示无权限安装 3、右键也无法以管理员权限运行msi程序 解决方法: 以管理员身份运行CMD
ADSSP适配玄武云(MOS平台)对接如何配置?
注:API配置文档详见附件,此网关无需开发补丁,按照如下步骤配置即可(之后遇到可以直接配置了): If Northern region: HTTP URL : https://hd.mosapi.cn:9100/api/v1.0.0/message/mass/send If Southern region: HTTP URL : https://ns.mosapi.cn:9100/api/v1.0.0/message/mass/send HTTP Method : Post HTTP ...
终端MFA用户无法接收验证码时怎么办?
管理员可以开启MFA备份码功能,通过为用户提供备份码实现MFA: 开启方式参考下图: 为用户查看生成备份码:
高可用(HA)配置相关
步骤: 1. 将原 ADSSP 升级到最新版本。 2. 将原 ADSSP 的内置数据库迁移到外部数据库。 迁移方法参考此文档:https://download.manageengine.com/products/self-service-password/configure-adselfservice-plus-with-mssql.pdf 3. 在备用 ADSSP 服务器中安装与原 ADSSP 相同的最新版本。 4. 在备用 ADSSP 服务器中安装支持软件,如 Native Client ...
如何修改ADSSP中每个属性的汉化表达?
如何修改如“通过SMS获取验证码” 为“通过飞书获取验证码”? 答:请到ADSSP的安装文件夹下的Resources>>adssp>>_cn properties中修改。如下图位置:
Next page