ADSelfservice Plus
ADSSP密码策略强化器和域的密码策略遵循哪个?
哪个强就会遵循哪个。
ADSSP Gina Client 注册表位置
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Zoho Corporation Pvt. Ltd.\ADSelfService Plus Client Software
产品使用安全性文档
1. https://download.manageengine.com/products/self-service-password/securing-adselfservice-plus-installation.pdf 2. https://download.manageengine.com/products/self-service-password/adselfservice-plus-post-deployment-security-measures.pdf
自定义“登录图标”无法生效怎么办?
常遇问题如下: 解决方案:隐藏“管理员登录”必须勾选后才能生效。
除登记用户占用许可的情况
以下截图可帮客户找出占用许可的原因,客户可以将其进行生成后删除从而释放许可:
ADSSP 专业版 和 ADSSP标准版使用终端MFA的区别?
“ADSSP 专业版” 除标准版可以采用的方式外,还可以使用 ADSSP 管理平台推送客户端软件到终端,使用此功能需要满足以下条件: 1. 必须将域管理员账户应用到“ADSSP 服务”和“ADSSP 域设置”中。 2. ADSSP安装文件夹应给予域管理员账户完全控制的权限。 3. 确保在ADSSP服务器上可以访问用户端的admin $ 文件夹。 4. 确保远程注册表(Remote Registry Service) 服务和服务器(server)服务在用户端已运行。 “ADSSP 标准版” ...
如何在门户网站的登录页面中不显示“域”选择下拉菜单且管理员如何登录
通过上图设置去除勾后,可以显示无域栏如下: 管理员登录时,用户名需要用 .\admin 进行登录,其他域用户只需用自己的账号和密码即可直接登录。
ADSSP和域控是通过什么方式进行数据交互的?
是通过LDAP进行交互的。
AD用户弱密码免费查询工具最小权限
客户可以通过弱密码查询工具了解自己AD用户的弱密码情况: 1. 下载弱密码工具链接:https://www.manageengine.com/products/free-windows-active-directory-tools/free-active-directory-weak-password-finder.html 温馨提示:会要求填写邮箱信息,信息填写完后便可直接找到ADMP免费工具执行文件,安装后根据下图位置进行查询弱密码即可。 2. ...
admin用户忘记验证问题答案
如果admin用户不小心忘记了问题验证答案怎么办? 答:admin用户可以通过重置admin密码的方式(导航到产品安装文件夹/bin文件夹/执行 resetadssppassword.bat 命令),进而达到重置验证问题答案的目的。
将Gina直接推送到用户端需要满足的条件!
使用 ADSSP 管理界面推送 Gina 到用户端的前置条件: 1. 必须将域管理员账户应用到“ADSSP服务”和“ADSSP 域设置”中。 2. ADSSP安装文件夹应给予域管理员账户完全控制的权限。 3. 确保在ADSSP服务器上可以访问用户端的admin $ 文件夹。 4. 确保远程注册表(Remote Registry Service) 服务和服务器(server)服务在用户端已运行。
升级步骤
以下为ADSSP升级步骤: 1. 先为安装ADSelfService Plus的服务器做快照。 2. 停止ADSelfService Plus 服务。 3. 导航到“ADSelfService Plus安装文件夹”并压缩备份此文件夹到任意位置。 4. 下载版本号所需的PPM文件到ADSelfService Plus所在服务器的任意位置。 ...
ADSSP中Mac系统的GINA如何卸载?
1.在ADSSPweb界面卸载,如下图所示: 2.如果web界面无法卸载,可以使用如下方法手动卸载: 一旦代理安装在Mac机器上,您将能够在/Library/Application Support/ADSSPLoginAgent/目录下看到卸载脚本,运行卸载脚本将允许您删除代理。
隐藏“管理员登录”后管理员该如何登录产品界面?
如果登录设置中选择了隐藏“管理员登录”(如上图),管理员会出现没有登录入口的情况(如下图): 登录方式: ①在8888后面加/adminLogin.cc ②点击enter 就会出现正常的管理员登录界面。 ③输入账号:admin 密码:admin 方可进入。
ADSSP-单点登录SSO功能介绍及基本实现原理
1.产品从6114Build开始,对于单点登录功能,如果配置的application也支持OpenID Connect或OAuth协议,产品中支持自定义配置该应用的单点登录,不再限于SAML2.0一种协议。 2.如果用户配置的应用是附件中列出的Supported Applications中的预定义应用,可直接按照步骤进行配置; 如果没有列出想配置的应用,比如是公司中自定义的应用,需要用户自定义配置。 3.使用ADSelfService ...
ADSSP报“您的账户已被限制使用,请联系您的管理员”,怎么排错?
报错截图: 1.查看策略里面是否包含了这个ou下的用户,如果策略没有应用到这个用户,这个用户是会被限制使用 2.查看这个用户是否是在受限用户里面,如果是在受限用户里,也会报这个错 3.查看身份验证报表里是否有这个账号 4.使用此账号登录本地AD域,看能否正常登录。 5.域设置里面更新对象 6.1中的策略配置重新勾选下OU,并重试。 7.如果以上都不行,请联系support@manageengine.cn
手动添加了用户的手机号后ADSSP没有更新,导致无法接收验证码,怎么解决?
1.首先查看客户添加的手机号是哪个属性,需要是AD域中的“移动电话”的属性,而非”电话号码“属性。 2.如对应的属性正确,到域设置中手动刷新下AD对象(如下图步骤),一般就可以解决问题。如未解决,请联系support@manageengine.cn
ADSSP如果单独取消WindowsTFA登录,还需要卸载客户端的控件吗?
在ADSSP界面设置取消TFA即可(如下图所示),如果不使用重置和解锁功能也可以卸载GINA。
ADSSP部分用户登录显示无效的登录名/密码,怎么解决?
报错截图如下: 排错指南: 1.确认该用户的用户名和密码是否正确 2.检查该用户是否在管理员分配策略的OU中 3.检查该用户所在策略是否有修改密码自我更新等操作 4.更新域设置中认证的密码,并更新域对象 5.确认此用户可否正常登录本地AD域 6.确认是否隶属于Protected Users组(在此组的用户无法使用ADSSP) 7.查看该用户是否有登录限制: 以上一条或几条基本可以解决问题,如果仍未解决,请联系support@manageengine.cn
用户重置密码时报错:权限不够被拒,请联系管理员
解决方案:确保策略设置中该用户在组织单位里-
ADSSP终端用户添加备用手机号时无法收到验证码,怎么解决?
问题描述:SMS设置界面可以收到测试短信,重置解锁的验证码也可以收到,但是添加备用手机号时显示发送成功,但是无法收到短信。查看日志显示:参数超过长度限制 解决过程:通过和阿里云短信网关客服沟通,发现后台查到的短信内容为:76948336isyourverificationcodetoenrollforself-servicepasswordmanagement. 整个作为变量发送,导致变量过长。 解决方案:修改上图处消息,只保留验证码,方法如下: ...
ADSSP:忘记密码,用手机访问web页面,页面大小是否自适应,体验好不好?
会自适应,界面友好,如下图所示。如果希望和电脑的页面相同,可以点击右下角桌面站点:
用户修改或更改密码失败可能的原因
如有以上问题发生,可从以下两种方式进行排错: 1. 请确保安装ADSSP的服务器是在域环境当中,因为产品需要定期与域同步!查看方式如下: 2. 请确保域控上对域用户没有设置密码更改限制规则。
ADSSP是否使用Laravel框架?如有使用,版本号是多少?
ADSSP未使用。详见如下研发回复: ADSelfservice Plus application does not use Lavarel Framework. It uses Ember.js framework on the frontend and the backend is internal framework based on Struts.
ADSSP重置密码时显示:”重置密码的访问被拒“,怎么解决?
问题截图: 解决思路如下: 1.查看域设置添加域控时是否已经认证,如无,请提供具有domain admin权限的账号及密码。 2.查看域的密码策略里面,最小使用时间是不是一天。如果是1天,当日只能重置或者修改密码一次。(本地密码策略也建议查看一下,确保都是0天) 3.查看在域里面重置下这个账号的密码看能否成功,如未成功,再逐步排查环境问题。如可以成功,请联系support@manageengine.cn
安装password sync agent(密码同步代理)是需要Access Key,在哪里可以找到?
在ADSSP的如下界面可以找到。关于密码同步代理更多的介绍可以参考:https://www.manageengine.com/products/self-service-password/help/admin-guide/Application/sync/password-sync-agent-native-password-reset.html
如果无法访问已注册的MFA设备或无法通过注册的MFA方法证明身份,怎么办?
可以在注册时生成备份验证码,保存下来,以备不时之需。方法:以终端用户登录,在登记注册界面,下图位置可以生成。其它详细信息,可以参考:https://www.manageengine.com/products/self-service-password/help/user-guide/adselfservice-plus-enrollment-guide.html
ADSSP是否受CVE-2021-42550影响?
经过和研发同事的确认,ADSSP不受影响:
密码过期后是否也不能登录adssp了?只能登录页面直接点击“忘记密码”进行密码重置了?
这个要分为是否记得之前的密码两种情况: 1.记得:可以登录,会直接跳转到修改密码界面 2.不记得:直接点击忘记密码进行密码重置
ADSSP-使用企业微信作为SMS方式时可否将‘手机号码’改为‘工号’以及隐藏下拉列表?
1.可以将手机号码改为工号或者企业微信这些文字,如下图: (关于如何更改,请参考此文章或联系support进行修改;properties文件路径是\ManageEngine\ADSelfService Plus\resources\adssp\mobile\ApplicationResources_zh_CN.properties。) ...
怎样查看产品使用的JDK版本?
1.产品安装目录\jre\bin,以ADSSP为例: C:\ManageEngine\ADSelfService Plus\jre\bin 2.以管理员身份运行以下命令即可查看到: java -version
ADSSP-用户AD密码已经到期了可以通过产品更改吗?
当用户AD账户密码已经过期后,可能就因此登录不了电脑或者收不到邮件,怎么办? 用户可以通过访问ADSelfService Plus手机App/手机浏览器/Gina插件/企业微信应用入口等方式去修改或重置自己的密码。 -如果用户记得密码,可以通过以上场景登录产品,进去后会强制修改密码; -如果用户已经忘记密码,用户通过了MFA后即可重置自己的密码。
ADSSP-如何发送邮件给未注册的用户
当新的员工账户创建后,管理员可以通过如下计划发送用户注册通知: 配置》管理工具》快速登记注册》通过邮件/推送方式发送登记注册通知》右上角新添计划通知 这些会给那些“通知至”但从未注册的用户都发一遍。
ADSSP-产品发邮件的邮箱顺序说明
首先,先说明以下管理员为用户注册数据时的邮箱地址不是AD中用户的mail属性,这是用户在产品数据库中留有的注册邮箱地址,只不过产品设计的也叫mail,这与AD中用户mail属性不冲突,换句话说,即使用户的mail属性有邮箱地址,这里的mail也可以导入,只不过是数据库中存储的用户邮箱地址,不影响到实际AD。 参照以上截图: 1.对于验证码(MFA时发送confirm ...
ADSSP-如何发送密码已经过期的邮件给用户
在密码到期通知计划的基础上可以再次为密码已经过期定制邮件内容并发给用户。在如下位置: 但是,由于AD账户密码已经过期,发到AD中mail属性指定的邮箱地址用户可能也登录不到邮箱,所以建议用户配置辅助邮箱,并启用发送邮件到辅助邮箱的选项,在如下位置: 另外,对于管理员,也可以制定计划给自己,定期发送密码已经过期的用户列表到指定邮箱地址,在如下位置: 关于密码到期通知(即密码即将过期但是还没有过期)的示例,请查看ADSSP-密码到期通知提醒示例 (manageengine.cn)
ADSSP-关于移动端App中面部识别和指纹识别方式的说明
iPhone:支持面部认证方式,也支持指纹识别,这取决于iPhone手机型号。 Android:只能用指纹识别方式,即使安卓手机本身有面部识别方式,但在ADSelfService Plus Android App中也无法启用面部识别方式。
ADSSP已登记的用户登录界面如何隐藏登记注册标签?
按照下图设置即可:
ADSSP如何禁止终端用户的强制注册?
配置--多重身份验证--MFA登记,取消勾选即可
ADSSP-用户不注册能使用重置密码和解锁账户功能吗(只使用Mail和SMS验证方式)?
但是如果管理员只设置了AD用户使用Mail和SMS这两种身份验证方式,且AD中用户的Mail和PhoneNumber都有,那么在用户不注册的情况下也可以直接使用“密码重置”和“账户解锁”。 但是注意以下几个设置的地方: -优先级: -身份验证方式确认: -不要强制用户注册: -勾选对应AD中用户的属性: 以及
ADSSP-不同时区有时差会影响TOTP身份验证吗?
举个例子,如果AD用户不在国内,不是北京Time Zone,但是ADSelfService Plus服务器部署在国内,那这种情况下,即使有时差(Time Difference)也不会影响TOTP的MFA。 因为TOTP是基于GMT/UTC,不是基于某一个特定时区,所以无论用户手机还是服务器,只要保证时间正确就行! 如果出现了以下报错,不是由于时差的原因,而是用户手机当前时间不对(或快或满,比如当前时区是15:00,但用户手机上显示14:59)。
Next page