Obsługa zmiany haseł kont lokalnych z wykorzystaniem konta domenowego przy użyciu modyfikatora haseł WinRM

Poniższa instrukcja opisuje podstawową konfigurację Fudo Enterprise niezbędną do umożliwienia zmiany haseł kont lokalnych na stacjach roboczych należących do domeny, z wykorzystaniem konta domenowego.


Do poprawnego działania modyfikatora haseł wymagane jest w Fudo Enterprise dodanie:
  • Konfiguracji nazwy hosta i serwera DNS.
  • Konfiguracji serwera KDC.
  • Konfiguracji serwera, na którym zlokalizowane jest konto lokalne.
  • Konfiguracji konta uprzywilejowanego, wykorzystywanego do przeprowadzenia zmiany hasła.
  • Konfiguracji konta lokalnego lub domenowego, dla którego będzie zmieniane hasło.

Informacja

  • Wymagane jest, aby Fudo Enterprise miało skonfigurowaną tę samą strefę czasową co domena.
  • Przy użyciu domenowego konta uprzywilejowanego można zmieniać hasło zarówno kontom lokalnym, jak i kontom domenowym. Należy wziąć to pod uwagę podczas konfiguracji użytkowników uprzywilejowanych, którzy będą odpowiedzialni za zmianę hasła oraz tych, którym hasła będą zmieniane.

Konfiguracja nazwy hosta i serwera DNS

Ustaw nazwę hosta postępując zgodnie z poniższą instrukcją:

  1. Przejdź do Ustawienia > Konfiguracja sieci.
  2. Przejdź do zakładki Nazwa i DNS.

  1. W polu Nazwa hosta wpisz nazwę wraz z domeną w podanym formacie: hostname.yourdomain.local (np. winrm.ad.dwt).

  2. Skonfiguruj serwer DNS:

    • Kliknij Dodaj serwer, aby zdefiniować nowy serwer DNS.
    • Wpisz adres IP serwera DNS (np. 10.0.180.101).
    • Kliknij Zapisz.
../../_images/winrm_dns.png

Dodanie serwera KDC

Dodaj konfigurację serwera KDC postępując zgodnie z poniższą instrukcją:

  1. Wybierz Ustawienia > Uwierzytelnienie > zakładka Globalne.
  2. Przejdź do sekcji Kerberos i upewnij się, że włączona jest opcja Używaj uwierzytelniania Kerberos.
  3. Kliknij Dodaj serwer.
../../_images/winrm_kdc.png
  1. W polach DomenaAdres wprowadź odpowiednio domenę oraz adres IP serwera odpowiedzialnego za uwierzytelnianie i dystrybucję kluczy w protokole Kerberos (np: AD.DWT oraz 10.0.130.100).

Konfiguracja serwera

Utwórz konfigurację serwera, na którym zlokalizowane jest konto lokalne:

  1. Wybierz z lewego menu Zarządzanie > Serwery i kliknij + Dodaj serwer
  1. Wpisz unikalną nazwę dla tworzonego obiektu (np: RDP_Server).
  2. Przejdź do sekcji Ustawienia.
  3. W polu Protokół wybierz RDP.
  4. W sekcji Miejsce przeznaczenia zdefiniuj serwer docelowy:
  • Wybierz Host,
  • W polu Adres wprowadź nazwę hosta wraz z domeną (np: w11pc01.ad.dwt).
  • W polu Port podaj numer portu.
  1. W sekcji Weryfikacja serwera wybierz opcję Certyfikat serwera i kliknij Pobierz certyfikat.
  1. Kliknij Zapisz i wyjdź
../../_images/winrm_server.png

Informacja

W opisywanym scenariuszu wymagane jest podanie nazwy hosta wraz z domeną. Nazwa ta zostanie wykorzystana w zmiennej transport_host modyfikatora haseł. Określenie serwera po adresie IPv4/IPv6 nie jest obsługiwane.

Dodawanie polityki zmiany haseł

Utwórz politykę haseł:

  1. Wybierz Zarządzanie > Modyfikatory haseł.
  2. Przejdź do zakładki Polityki haseł i kliknij Dodaj politykę haseł.
  3. Wprowadź unikalną nazwę dla tworzonej polityki (np: winrm).
  4. Wybierz opcję Zmiana hasła włączona i określ przedział czasu między każdą zmianą hasła.
  5. Zdefiniuj złożoność hasła.
../../_images/winrm_policy.png

Informacja

  • Weryfikacja haseł w scenariuszu zmiany hasła dla konta domenowego za pomocą innego konta domenowego nie jest obsługiwana w bieżącej wersji Fudo Enterprise.
  • Weryfikacja haseł działa przy scenariuszu zmiany hasła dla konta poza domeną.

Konto administratora

Dodaj konto, które będzie wykorzystywane podczas zmiany haseł na kontach lokalnych. Poniższy przykład opiera się na koncie typu regular domenowego użytkownika uprzywilejowanego do zmiany haseł.

  1. Wybierz Zarządzanie > Konta, a następnie kliknij Dodaj konto.

  1. Wprowadź unikalną nazwę dla tworzonego obiektu (np: WINRM_Admin).

  2. W zakładce Ustawienia, w polu Typ, naciśnij przycisk REGULAR.

  3. W sekcji Cel, wybierz przycisk Serwer, następnie z listy wybierz utworzony w poprzednich krokach serwer RDP, na którym zlokalizowane jest konto lokalne (RDP_Server).

  4. W sekcji Poświadczenia:

    • Podaj nazwę domeny (np: AD.DWT).
    • Podaj Login konta, które będzie wykorzystywane do zmiany haseł kont lokalnych (np: Admin).
    • W sekcji Zastąp tajemnicę kliknij przycisk odpowiadający jednej z pożądanych opcji uwierzytelnienia (np: Hasło i w polu Sekret wpisz hasło dla wspomnianego konta).
    • Kliknij Zapisz, aby zamknąć okno dialogowe.
  1. Kliknij Zapisz i wyjdź.

Konto dla którego będzie zmieniane hasło

Dodaj lokalne konto użytkownika, dla którego będzie zmieniane hasło. Poniższy przykład opiera się na koncie typu regular użytkownika lokalnego.

  1. Wybierz Zarządzanie > Konta, a następnie kliknij Dodaj konto.

  1. Wprowadź unikalną nazwę dla tworzonego obiektu (np: WINRM_User1).

  2. W zakładce Ustawienia, w polu Typ, naciśnij przycisk REGULAR.

  3. W sekcji Cel, wybierz przycisk Serwer, następnie z listy wybierz utworzony w poprzednich krokach serwer RDP, na którym zlokalizowane jest konto lokalne (RDP_Server).

  4. W sekcji Poświadczenia:

    • Podaj nazwę domeny (np: AD.DWT) - jeśli jest to konto domenowe.
    • Podaj Login konta lokalnego (np: User1).
    • W sekcji Zastąp sekret kliknij przycisk odpowiadający jednej z pożądanych opcji uwierzytelnienia (np: Hasło i w polu Sekret wpisz hasło dla konta lokalnego).
    • Kliknij Zapisz, aby zamknąć okno dialogowe.

Informacja

Podanie domeny w tym przypadku jest opcjonalne i zależy od tego, czy konto jest w domenie, czy poza domeną.

  1. Przejdź do zakładki MODYFIKATORY HASEŁ.
  2. W sekcji Ogólne, w polu Polityka modyfikatora hasła wybierz utworzoną wcześniej politykę (winrm).
  3. W sekcji Modyfikator haseł z listy rozwijanej Dodaj modyfikator wybierz WinRM changer.
../../_images/winrm_account_user.png

  1. Do poprawnego działania modyfikatora wymagane jest skonfigurowanie poniższych pól:

    • transport_domain - wykorzystywane jest podczas uwierzytelnienia się kontem wykorzystywanym do zmiany hasła kont lokalnych lub domenowych. Domyślnie ustawione jest na opcję predefiniowane, przez co wykorzystywana jest nazwa domeny wpisana dla obecnie konfigurowanego konta. Dostępne są również opcje:

      • stała - umożliwia wprowadzenie stałej wartość dla nazwy domeny.
      • konto - umożliwia wskazanie konta, z którego pobierana jest wartość dla nazwy domeny.

    • transport_login - pole określające login konta uprzywilejowanego, które posłuży do zmiany hasła. W kolumnie Typ należy wybrać konto, następnie w kolumnie Wartość należy wybrać konto, które będzie wykorzystywane podczas zmiany haseł na kontach lokalnych. W przypadku tego scenariusza będzie to konto WINRM_Admin.

    • transport_port - port 5986, za pośrednictwem którego logujemy się do serwera, na którym będzie zmieniane hasło (wymagany port: 5986).

    • transport_secret - pole określające sekret konta uprzywilejowanego, które posłuży do zmiany hasła. W kolumnie Typ należy wybrać konto, następnie w kolumnie Wartość należy wybrać konto, które będzie wykorzystywane podczas zmiany haseł na kontach lokalnych. W przypadku tego scenariusza będzie to konto WINRM_Admin.

    • account_domain - pole musi zostać wypełnione, jeśli chcemy skonfigurować password changer dla konta w domenie. Jeśli kontem, na którym chcemy zmieniać hasło, jest konto lokalne, pole to można pozostawić puste. Pole to domyślnie ustawione jest na opcję predefiniowane, przez co wykorzystywana jest nazwa domeny wpisana dla obecnie konfigurowanego konta.

  1. Kliknij Zapisz, aby zamknąć okno dialogowe.
  2. Kliknij Zapisz i wyjdź.

Tematy pokrewne: