ADSelfservice Plus
ADSSP如果单独取消WindowsTFA登录,还需要卸载客户端的控件吗?
在ADSSP界面设置取消TFA即可(如下图所示),如果不使用重置和解锁功能也可以卸载GINA。
ADSSP部分用户登录显示无效的登录名/密码,怎么解决?
报错截图如下: 排错指南: 1.确认该用户的用户名和密码是否正确 2.检查该用户是否在管理员分配策略的OU中 3.检查该用户所在策略是否有修改密码自我更新等操作 4.更新域设置中认证的密码,并更新域对象 5.确认此用户可否正常登录本地AD域 6.确认是否隶属于Protected Users组(在此组的用户无法使用ADSSP) 7.查看该用户是否有登录限制: 以上一条或几条基本可以解决问题,如果仍未解决,请联系support@manageengine.cn
用户重置密码时报错:权限不够被拒,请联系管理员
解决方案:确保策略设置中该用户在组织单位里-
ADSSP终端用户添加备用手机号时无法收到验证码,怎么解决?
问题描述:SMS设置界面可以收到测试短信,重置解锁的验证码也可以收到,但是添加备用手机号时显示发送成功,但是无法收到短信。查看日志显示:参数超过长度限制 解决过程:通过和阿里云短信网关客服沟通,发现后台查到的短信内容为:76948336isyourverificationcodetoenrollforself-servicepasswordmanagement. 整个作为变量发送,导致变量过长。 解决方案:修改上图处消息,只保留验证码,方法如下: ...
ADSSP:忘记密码,用手机访问web页面,页面大小是否自适应,体验好不好?
会自适应,界面友好,如下图所示。如果希望和电脑的页面相同,可以点击右下角桌面站点:
用户修改或更改密码失败可能的原因
如有以上问题发生,可从以下两种方式进行排错: 1. 请确保安装ADSSP的服务器是在域环境当中,因为产品需要定期与域同步!查看方式如下: 2. 请确保域控上对域用户没有设置密码更改限制规则。
ADSSP是否使用Laravel框架?如有使用,版本号是多少?
ADSSP未使用。详见如下研发回复: ADSelfservice Plus application does not use Lavarel Framework. It uses Ember.js framework on the frontend and the backend is internal framework based on Struts.
ADSSP重置密码时显示:”重置密码的访问被拒“,怎么解决?
问题截图: 解决思路如下: 1.查看域设置添加域控时是否已经认证,如无,请提供具有domain admin权限的账号及密码。 2.查看域的密码策略里面,最小使用时间是不是一天。如果是1天,当日只能重置或者修改密码一次。(本地密码策略也建议查看一下,确保都是0天) 3.查看在域里面重置下这个账号的密码看能否成功,如未成功,再逐步排查环境问题。如可以成功,请联系support@manageengine.cn
安装password sync agent(密码同步代理)是需要Access Key,在哪里可以找到?
在ADSSP的如下界面可以找到。关于密码同步代理更多的介绍可以参考:https://www.manageengine.com/products/self-service-password/help/admin-guide/Application/sync/password-sync-agent-native-password-reset.html
如果无法访问已注册的MFA设备或无法通过注册的MFA方法证明身份,怎么办?
可以在注册时生成备份验证码,保存下来,以备不时之需。方法:以终端用户登录,在登记注册界面,下图位置可以生成。其它详细信息,可以参考:https://www.manageengine.com/products/self-service-password/help/user-guide/adselfservice-plus-enrollment-guide.html
ADSSP是否受CVE-2021-42550影响?
经过和研发同事的确认,ADSSP不受影响:
密码过期后是否也不能登录adssp了?只能登录页面直接点击“忘记密码”进行密码重置了?
这个要分为是否记得之前的密码两种情况: 1.记得:可以登录,会直接跳转到修改密码界面 2.不记得:直接点击忘记密码进行密码重置
ADSSP-使用企业微信作为SMS方式时可否将‘手机号码’改为‘工号’以及隐藏下拉列表?
1.可以将手机号码改为工号或者企业微信这些文字,如下图: (关于如何更改,请参考此文章或联系support进行修改;properties文件路径是\ManageEngine\ADSelfService Plus\resources\adssp\mobile\ApplicationResources_zh_CN.properties。) ...
怎样查看产品使用的JDK版本?
1.产品安装目录\jre\bin,以ADSSP为例: C:\ManageEngine\ADSelfService Plus\jre\bin 2.以管理员身份运行以下命令即可查看到: java -version
ADSSP-用户AD密码已经到期了可以通过产品更改吗?
当用户AD账户密码已经过期后,可能就因此登录不了电脑或者收不到邮件,怎么办? 用户可以通过访问ADSelfService Plus手机App/手机浏览器/Gina插件/企业微信应用入口等方式去修改或重置自己的密码。 -如果用户记得密码,可以通过以上场景登录产品,进去后会强制修改密码; -如果用户已经忘记密码,用户通过了MFA后即可重置自己的密码。
ADSSP-如何发送邮件给未注册的用户
当新的员工账户创建后,管理员可以通过如下计划发送用户注册通知: 配置》管理工具》快速登记注册》通过邮件/推送方式发送登记注册通知》右上角新添计划通知 这些会给那些“通知至”但从未注册的用户都发一遍。
ADSSP-产品发邮件的邮箱顺序说明
首先,先说明以下管理员为用户注册数据时的邮箱地址不是AD中用户的mail属性,这是用户在产品数据库中留有的注册邮箱地址,只不过产品设计的也叫mail,这与AD中用户mail属性不冲突,换句话说,即使用户的mail属性有邮箱地址,这里的mail也可以导入,只不过是数据库中存储的用户邮箱地址,不影响到实际AD。 参照以上截图: 1.对于验证码(MFA时发送confirm ...
ADSSP-如何发送密码已经过期的邮件给用户
在密码到期通知计划的基础上可以再次为密码已经过期定制邮件内容并发给用户。在如下位置: 但是,由于AD账户密码已经过期,发到AD中mail属性指定的邮箱地址用户可能也登录不到邮箱,所以建议用户配置辅助邮箱,并启用发送邮件到辅助邮箱的选项,在如下位置: 另外,对于管理员,也可以制定计划给自己,定期发送密码已经过期的用户列表到指定邮箱地址,在如下位置: 关于密码到期通知(即密码即将过期但是还没有过期)的示例,请查看ADSSP-密码到期通知提醒示例 (manageengine.cn)
ADSSP-关于移动端App中面部识别和指纹识别方式的说明
iPhone:支持面部认证方式,也支持指纹识别,这取决于iPhone手机型号。 Android:只能用指纹识别方式,即使安卓手机本身有面部识别方式,但在ADSelfService Plus Android App中也无法启用面部识别方式。
ADSSP已登记的用户登录界面如何隐藏登记注册标签?
按照下图设置即可:
ADSSP如何禁止终端用户的强制注册?
配置--多重身份验证--MFA登记,取消勾选即可
ADSSP-用户不注册能使用重置密码和解锁账户功能吗(只使用Mail和SMS验证方式)?
但是如果管理员只设置了AD用户使用Mail和SMS这两种身份验证方式,且AD中用户的Mail和PhoneNumber都有,那么在用户不注册的情况下也可以直接使用“密码重置”和“账户解锁”。 但是注意以下几个设置的地方: -优先级: -身份验证方式确认: -不要强制用户注册: -勾选对应AD中用户的属性: 以及
ADSSP-不同时区有时差会影响TOTP身份验证吗?
举个例子,如果AD用户不在国内,不是北京Time Zone,但是ADSelfService Plus服务器部署在国内,那这种情况下,即使有时差(Time Difference)也不会影响TOTP的MFA。 因为TOTP是基于GMT/UTC,不是基于某一个特定时区,所以无论用户手机还是服务器,只要保证时间正确就行! 如果出现了以下报错,不是由于时差的原因,而是用户手机当前时间不对(或快或满,比如当前时区是15:00,但用户手机上显示14:59)。
ADSSP-用户自助解锁账户时提示操作不可执行需联系管理员?
如下图,AD用户通过Gina解锁账户时提示该操作不可执行,需要联系管理员? 原因:身份验证过程中,验证次数多次失败(如回答问题错误、验证码错误等方式),暂时锁定账户执行该操作。 可在如下位置设置执行失败次数阈值和锁定账户执行操作时间限制:
ADSSP-如何指定一位用户测试密码到期通知而非发给全部密码到期用户?
如何指定一位用户先测试密码到期通知,而非发给全部密码到期用户邮件? 测试如下: 可以先不选择AD中mail属性来定位用户,选择一个测试的其他没用到的AD用户属性,然后在该属性中手动填写想测试的邮箱地址(我这里手动在用户的otherTelephone处填写了测试的邮箱地址),如下: 然后点击立即运行,效果如下:
ADSSP-Build6119还是有log4j文件怎么处理?
ADSelfService Plus Build 6119的Release Note如下: 升级到该build后,发现安装目录中还是有log4j文件: >>如果MFA中没有配置RSA SecureID,则用户可以手动删除掉log4j-1.2.8.jar和log4j-1.2.15.jar。 >>如果配置了RSA SecureID,请参照Log4j dependency removal's impact on RSA SecurID-based MFA (manageengine.com)
ADSSP-账户到期通知提醒示例
以下测试的是活动目录用户账户到期前10天的邮件通知计划: 1.首先确认确实存在有账户即将过期的用户: -可通过ADSelfService Plus中立即运行账户即将过期计划报表看是否有用户数据生成: -或者通过ADManager Plus中账户即将过期报表生成 2.制定邮件通知计划,定期发送邮件通知到这些账户即将过期的用户: (确保已经正确配置了ADSelfService Plus邮件服务器配置,能收到测试的邮件通知:) 3.以下是符合账户到期天数为10天的用户收到的账户即将过期通知邮件: ...
ADSSP-密码到期通知提醒示例
以下测试的是活动目录用户账号的密码到期前20天的邮件通知计划: 1.首先确认确实存在有密码即将过期的账号,可通过“密码即将过期的用户”报表: (如果该报表下没有生成用户数据,则选择的OU中没有符合该密码过期天数的用户。) 2.制定邮件通知计划,定期发送邮件通知到这些密码即将过期的用户 (确保已经正确配置了ADSelfService Plus邮件服务器配置,能收到测试的邮件通知: 3.以下是符合密码到期天数20天的用户收到的密码即将过期通知邮件: 【密码过期通知设置同理,参考以上】
ADSSP-启用CheckPoint Endpoint Security VPN MFA
ADSelfService Plus 要求 VPN 服务器使用 Windows 网络策略服务器 (NPS) 进行身份验证。 下载NPS扩展(AdsspNpsExtension),该扩展应安装在 NPS 服务器中,NPS服务器可以是ADSelfService Plus本机,也可以是域成员服务器,(Windows Server 2008 R2 及更高版本)。 先决条件: 1.启用HTTPS,可信任SSL证书; 2.为 VPN服务器配置使用 RADIUS 身份验证(其中Shared ...
ADSSP-可以修改手机浏览器访问产品界面上的字段(如‘前进’)吗?
答:可以更改,但是不建议随意更改,或者更改前请先备份好要更改的文件。 方法:打开ManageEngine\ADSelfService Plus\resources\adssp\mobile\ApplicationResources_zh_CN.properties文件,搜索adssp.mobile.common.button.next将后面的\u524D\u8FDB修改为\u4E0B\u4E00\u6B65,如下图: Before: After: 然后重启产品。 ...
ADSSP可以定期扫描禁用的用户以释放许可吗?
可以的。可以从如下界面进行配置:
如何卸载各产品的服务?/删除服务
以管理员身份打开命令提示符,在任意位置,执行命令:sc delete 服务里面的产品名称,如下图所示,即可卸载服务:
ADSSP-启用SDP Saml SSO时提示“认证失败”或“无权限”
当AD用户在ServiceDesk Plus登录界面选择通过SAML SSO(IdP:ADSelfService Plus)认证: 在界面跳转时提示无权限查看内容(即使看到URL链接已成功跳转到ADSelfService Plus产品): 或身份认证界面跳转失败提示SAML认证失败: 怎么解决? 解决办法: 在ADSelfService Plus中链接账户属性查看: ->如果选择的源属性是mail,改为sAMAccountName(上面的报错截图1的情况); ...
ADSSP-可以修改Gina界面的提示‘如Zhangsan’这个字段吗?
请按照如下方法进行修改(不建议用户自行修改这些文件): 1.找到如下路径的文件(如果您想修改的字段是产品中界面UI是中文时),做个备份再进行修改: 2.搜索‘Zhangsan’关键词(确保仅搜索到1次): 2.1如果想替换成英文名字/拼音,如我之前已经替换好的拼音是‘guotingting’,替换它然后保存: 2.2如果想修改为中文,比如'郭婷婷',则替换为‘\u90ED\u5A77\u5A77’,然后保存: ...
ADSSP-如何删除之前安装过GINA的但是现在已经不存在的电脑?
连接到DB,执行如下query: Delete from AGENTCOMPUTERDETAILS where computer_name in('computer_name1','',...); 单引号内写入具体的computer name,多个computers的话,使用英文逗号隔开。
ADSSP-配置SAML时提示未启用HTTPS(已启用HTTPS)
已经启用了https,但为什么配置saml的时候还提示未启用? 解决办法:手动更改一下“配置访问的URL”
ADSSP-从产品中删除离职账户
在如下位置,可以选中这些想要删除的用户账户(可以进行OU筛选),删除后其注册数据会全部删除: 用户占用的授权也会释放出来。
ADSSP-“限制用户”占用许可数量
当企业中如果有多个用户(比如离职,账户禁用或者过期状态),我们可以限制这些占用许可的注册用户来释放一些授权。 Before是这样的: 然后我们来限制这个用户: After后,会释放出它占用的授权: (上图中的数字不还差1个不对应,是我还配置了1个产品技术员,无需过多关注这个,只看是否腾出了一个许可就行。)
ADSSP启用终端TFA时提示“此网站的安全证书存在问题”如何处理?
报错信息如图所示: 解决方案: 1.应用证书 2.针对测试用户,不愿意应用证书的,可以在对应的安装GINA的客户端打开注册表,如下图的位置,将RestrictBadCert改为false即可进行测试。
ADSSP-SMS验证时提示不能发送验证码,URL被阻断什么原因?
如下图提示: 排查步骤: 1.点击测试短信,看是否可以发送测试短信; 2.ADSSP服务器看是否可以ping上述SMS HTTP URL,如上面截图中试着ping一下api.ums86.com; ...
Next page