Sie können Benutzern die Möglichkeit einräumen, ihre Active Directory-Kennwörter im Workspace ONE-Portal oder in der Workspace ONE-App je nach Bedarf zu ändern. Benutzer können auch ihr Active Directory-Kennwort auch in der VMware Identity Manager-Anmeldeseite zurücksetzen, wenn das Kennwort abgelaufen ist oder wenn der Active Directory-Administrator das Kennwort zurückgesetzt hat, sodass der Benutzer das Kennwort bei der nächsten Anmeldung ändern muss.
Warum und wann dieser Vorgang ausgeführt wird
Sie aktivieren diese Option pro Verzeichnis, indem Sie auf der Seite „Verzeichniseinstellungen“ die Option Kennwortänderung zulassen auswählen.
Benutzer können, wenn sie beim Workspace ONE-Portal angemeldet sind, ihre Kennwörter durch Klicken auf ihren Namen rechts oben, Auswählen von Konto aus dem Dropdown-Menü und Anklicken des Link Kennwort ändern ändern. In der Workspace ONE-App haben Benutzer die Möglichkeit, ihre Kennwörter durch Klicken auf das Menüsymbol mit den drei Balken und durch Auswählen von Kennwort zu ändern.
Abgelaufene Kennwörter oder vom Administrator in Active Directory zurückgesetzte Kennwörter können auf der Anmeldeseite geändert werden. Wenn ein Benutzer versucht, sich mit einem abgelaufenen Kennwort anzumelden, wird er dazu aufgefordert, sein Kennwort zurückzusetzen. Der Benutzer muss dann das alte Kennwort sowie das neue Kennwort eingeben.
Die Anforderungen für das neue Kennwort sind in der Active Directory-Kennwortrichtlinie festgelegt. Die Anzahl der zulässigen Versuche hängt auch von der Active Directory-Kennwortrichtlinie ab.
Es gelten die nachfolgend aufgeführten Beschränkungen.
Wenn ein Verzeichnis als „Globaler Katalog“ zu VMware Identity Manager hinzugefügt wird, ist die Option Kennwortänderung zulassen nicht verfügbar. Verzeichnisse können als „Active Directory über LDAP“ oder „Integrierte Windows-Authentifizierung“ hinzugefügt werden, wozu die Ports 389 oder 636 verwendet werden.
Das Kennwort eines Bind-DN-Benutzers kann nicht in VMware Identity Manager zurückgesetzt werden, selbst wenn es abläuft oder wenn der Active Directory-Administrator es zurücksetzt.
Anmerkung:Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
Kennwörter von Benutzern, deren Anmeldenamen aus Multibyte-Zeichen (keine ASCII-Zeichen) bestehen, können nicht in VMware Identity Manager zurückgesetzt werden.
Voraussetzungen
Port 464 muss von VMware Identity Manager zu den Domänencontrollern geöffnet sein.
Wenn Sie zusätzliche eigenständige virtuelle Konnektor-Appliances verwenden, müssen Sie beachten, dass die Option Änderung des Kennworts zulassen nur in der Connector-Version 2016.11.1 und höher verfügbar ist.
Prozedur
- In der Verwaltungskonsole klicken Sie auf die Registerkarte Identitäts- und Zugriffsmanagement.
- Klicken Sie auf der Registerkarte Verzeichnisse auf das Verzeichnis.
- Aktivieren Sie im Abschnitt Kennwortänderung zulassen das Kontrollkästchen Kennwortänderung aktivieren.
- Geben Sie das Bind-DN-Kennwort im Abschnitt Details zum Verbindungsbenutzer ein, und klicken Sie auf Speichern.