域认证时修改密码功能的配置说明.docx

1、域认证时修改密码功能的配置说明1 域认证时修改密码功能的配置说明任天行V2.5Build23中增加了允许windows域用户在上网登记界面修改域用户密码的功能，此功能在实现上由于受到windows2000/2003 server的严格安全性限制，必须在域服务器端安装证书服务器并导出根证书给任天行审计机使用，同时需要提供域服务器内一个具备修改其它域用户资料（包括密码）权限的管理员帐号给任天行审计机。以下对上述配置过程给出详细的图解说明。Step 1、域服务器安装“证书服务”并创建CA注：如果您的域服务器已经安装了此组件，这一步可跳过a. 进入“控制面板”-“添加/删除程序”，点击左边的“添加/删

2、除windows组件”b. 勾选“证书服务”，此时会弹出一个警告，点击“是”后点击“下一步”c. 进行CA类型选择，选择“企业根CA”后点击“下一步”d. 输入CA识别信息，如下图e. 证书数据库设置，此处使用默认设置，直接点击下一步即可f. 如果您安装了IIS，系统会弹出以下提示，选择“是”：g. 等待安装过程完毕后点击“完成”至此，已经安装证书服务并创建了根CA证书(Root CA)。Step 2、导出根证书a. 打开浏览器并选择菜单“工具”-“Internet选项”b. 选择“内容”标签卡，并点击“证书”按钮c. 在证书对话框中选择“受信任的根证书颁发机构”标签卡，并找到刚才在Step1

3、-d中填写的CA共用名称对应的证书，如下图：d. 在上面的界面中选择好证书后点击“导出”按钮，进入证书导出向导：e. 选择第一种格式即可：f. 指定一个路径和文件名g. 完成证书文件导出Step 3、配置域管理员帐号 配置域管理员帐号可以在域服务器上新建一个专用的特殊帐号，也可直接使用超级管理员帐号Administrator。以下说明新建专用域管理员帐号的过程：a. 在域服务器上进入“控制面板”-“管理工具”-“Active Directory用户和计算机”b. 在左边点击需要配置的域名，然后在右边点击邮件并选择“新建-用户”c. 填写用户信息d. 设置密码和密码安全属性，完成用户创建e. 将

4、用户添加到域管理员组，在用户行数据上点击右键，选择“添加到组”f. 选择“高级”，点击“立即查找”按钮，在搜索结果中选择“Domain Admins”并确定至此，已完成域管理员用户的新增。Step 4、任天行的控制方式配置a. 进入任天行管理界面的“系统管理”-“控制方式”，选择“帐号控制方式”或“混合控制方式”，这两种控制方式下又分为三种认证方式：本地帐号认证、远程windows域用户认证、远程Lotus-LDAP用户认证，当您使用的认证方式为远程windows域用户认证时，下面的配置数据项中的三项涉及修改域用户密码的数据录入框会转为可输入状态，如下图的红线框区域：b. 在上述界面填写认证服

5、务器的IP地址、域名、Step3设置的域用户管理帐号及其密码，并在域服务器根证书一项内选择输入Step2导出的根证书文件，点击确定提交即可，如下图：注：1、 域服务器根证书输入框下面会显示当前该证书的上传状态，如果曾经上传过证书文件，当前状态会显示为“已上传”，如果从未上传过证书文件，将显示为“未上传”；2、 为安全性起见，在配置完成后再次进入此界面时，系统将不会读取上次配置的管理帐号的密码和根证书的文件名显示在界面上，如果您需要更改密码或证书，只需重新输入数据或文件，如果不需要更改，置空此两项即可，系统将保持原有的数据；3、 安全声明：您录入并保存的管理帐号密码和根证书只会保存在任天行审计机内，不会以任何形式从网络向外传输，敬请放心使用。