管理身份验证代理帐户
使用采用卡巴斯基磁盘加密 (FDE) 技术保护的驱动器时,需要身份验证代理。加载操作系统之前,用户需要使用代理完成身份验证。“管理身份验证代理账户”任务设计用于配置用户身份验证设置。对于单台计算机可以使用本地任务,对于单独管理组中的计算机或一组选定计算机,可以使用组任务。
您无法配置用于启动“管理身份验证代理账户”任务的计划。也不能强行停止任务。
如何在管理控制台 (MMC) 中创建“管理身份验证代理账户”任务
- 打开 Kaspersky Security Center Administration Console。
- 在控制台树中,选择“任务”。
任务列表打开。
- 单击“新任务”。
“任务向导”将启动。按照向导的说明进行操作。
步骤 1. 选择任务类型
选择“Kaspersky Endpoint Security for Windows (12.4)”→ “管理身份验证代理账户”。
步骤 2. 选择身份验证代理账户管理命令
生成身份验证代理账户管理命令列表。管理命令允许您添加、修改和删除身份验证代理账户(请参见以下说明)。只有拥有身份验证代理账户的用户可以完成身份验证过程、加载操作系统和获得对加密驱动器的访问权限。
步骤 3. 选择任务将分配到的设备
选择将要执行任务的计算机。下列选项可用:
- 将任务分配给管理组。在这种情况下,任务分配给先前创建的管理组中包括的计算机。
- 选择管理服务器在网络中检测到的计算机:未分配设备。特定设备可包括管理组中的设备以及未分配设备。
- 手动指定设备地址或从列表中导入地址。您可以指定您要将任务分配给的设备的 NetBIOS 名称、IP 地址和 IP 子网。
步骤 4. 定义任务名称
输入任务的名称,例如“管理员账户”。
步骤 5. 完成任务创建
退出向导。如有必要,选中“向导完成时运行任务”复选框。您可以在任务属性中监控任务进度。
结果,在下次计算机启动时,当任务完成后,新用户可以完成身份验证过程、加载操作系统和获得对加密驱动器的访问权限。
如何在 Web Console 中创建“管理身份验证代理账户”任务
- 在 Web Console 的主窗口中,选择“设备” → “任务”。
任务列表打开。
- 单击“添加”按钮。
“任务向导”将启动。按照向导的说明进行操作。
步骤 1. 配置常规任务设置
配置常规任务设置:
- 在“应用程序”下拉列表中,选择“Kaspersky Endpoint Security for Windows (12.4)”。
- 在“任务类型”下拉列表中,选择“管理身份验证代理账户”。
- 在“任务名称”字段中,输入简要说明,例如“管理员账户”。
- 在“选择要对其分配任务的设备”块中,选择任务范围。
步骤 2. 管理身份验证代理账户
生成身份验证代理账户管理命令列表。管理命令允许您添加、修改和删除身份验证代理账户(请参见以下说明)。只有拥有身份验证代理账户的用户可以完成身份验证过程、加载操作系统和获得对加密驱动器的访问权限。
步骤 3. 完成任务创建
退出向导。在任务列表中将显示一个新任务。
要运行任务,请选中与任务对应的复选框,然后单击“开始”按钮。
结果,在下次计算机启动时,当任务完成后,新用户可以完成身份验证过程、加载操作系统和获得对加密驱动器的访问权限。
要添加身份验证代理账户,您需要向“管理身份验证代理账户”任务添加特殊命令。使用组任务很方便,例如,将管理员账户添加到所有计算机。
Kaspersky Endpoint Security 允许您在加密驱动器之前自动创建身份验证代理账户。您可以在“完整磁盘加密”策略设置中启用自动创建身份验证代理账户。您还可以使用单点登录 (SSO) 技术。
如何通过管理控制台 (MMC) 添加身份验证代理账户
- 打开“管理身份验证代理账户”任务的属性。
- 在任务属性中,选择“设置”区域。
- 单击添加 → 账户添加命令。
- 在打开的窗口的“Windows 账户”字段中,指定将用于创建身份验证代理账户的 Microsoft Windows 账户的名称。
- 如果您手动输入了 Windows 账户名称,请单击“允许”按钮以定义账户安全标识符 (SID)。
如果您单击“允许”按钮时选择不决定安全标识符 SID,SID 将在任务在计算机上执行时确定。
定义 Windows 账户安全标识符对于验证 Windows 账户名称是否正确输入是必需的。如果计算机或受信任域中不存在 Windows 账户,则“管理身份验证代理账户”任务将以出错结束。
- 如果您希望将先前为身份验证代理创建的现有账户替换为正在创建的帐户,请选择“替换现有账户”复选框。
当您在管理身份验证代理帐户的组任务中添加身份验证代理创建命令时,该步骤将可用。当您在管理身份验证代理账户本地任务中添加身份验证代理创建命令时,该步骤不可用。
- 在“用户名”字段中,输入在身份验证过程中必须输入的身份验证代理帐户名,以便访问加密的硬盘驱动器。
- 如果您希望在身份验证期间应用程序提示用户输入身份验证代理账户以便访问加密硬盘,请选择“允许基于密码的身份验证”。设置身份验证代理账户的密码。如有必要,您可以在首次身份验证后向用户请求新密码。
- 如果您希望在访问加密硬盘驱动器的身份验证期间应用程序提示用户输入连接至计算机的令牌或智能卡,请选择“允许基于证书的身份验证”。选择一个证书文件以使用智能卡或令牌进行身份验证。
- 如有必要,在“命令描述”字段中输入您需要管理命令的身份验证代理帐户的详情。
- 在“在身份验证代理中进行身份验证的权限”块,为使用命令中指定的账户的用户配置在身份验证代理中进行身份验证的权限。
- 保存更改。
如何通过 Web Console 添加身份验证代理账户
- 在 Web Console 的主窗口中,选择“设备” → “任务”。
任务列表打开。
- 单击 Kaspersky Endpoint Security 的“管理身份验证代理账户”任务。
任务属性窗口将打开。
- 选择“应用程序设置”选项卡。
- 在身份验证代理账户列表中,单击“添加”按钮。
这将启动“身份验证代理账户管理向导”。
- 选择“添加”命令类型。
- 选择用户账户。您可以从域账户列表中选择账户,也可以手动输入账户名称。转到下一步。
Kaspersky Endpoint Security 会确定账户安全标识符 (SID)。这是验证账户所必需的。如果输入的用户名不正确,Kaspersky Endpoint Security 将以出错结束任务。
- 配置身份验证代理账户设置。
- “创建新的身份验证代理账户以替换现有账户”。Kaspersky Endpoint Security 将扫描计算机上的现有账户。如果计算机上和任务中的用户安全 ID 匹配,则 Kaspersky Endpoint Security 将根据任务更改用户账户设置。
- “用户名”。身份验证代理账户的默认用户名与用户的域名相对应。
- “允许基于密码的身份验证”。设置身份验证代理账户的密码。如有必要,您可以在首次身份验证后向用户请求新密码。这样,每个用户将拥有自己的唯一密码。您还可以在策略中为身份验证代理账户设置密码强度要求。
- “允许基于证书的身份验证”。选择一个证书文件以使用智能卡或令牌进行身份验证。这样,用户将需要输入智能卡或令牌的密码。
- “账户对加密数据的访问权限”。配置用户对加密驱动器的访问权限。例如,您可以暂时禁用用户身份验证,而不是删除身份验证代理账户。
- “注释”。如有必要,输入账户说明。
- 保存更改。
- 选中任务旁边的复选框,然后单击“开始”按钮。
结果,在下次计算机启动时,当任务完成后,新用户可以完成身份验证过程、加载操作系统和获得对加密驱动器的访问权限。
要更改身份验证代理账户的密码和其他设置,您需要向“管理身份验证代理账户”任务添加特殊命令。使用组任务很方便,例如,替换所有计算机上的管理员令牌证书。
如何通过管理控制台 (MMC) 更改身份验证代理账户
- 打开“管理身份验证代理账户”任务的属性。
- 在任务属性中,选择“设置”区域。
- 单击添加 → 账户编辑命令。
- 在打开的窗口的“Windows 账户”字段中,指定要更改的 Microsoft Windows 用户账户的名称。
- 如果您手动输入了 Windows 账户名称,请单击“允许”按钮以定义账户安全标识符 (SID)。
如果您单击“允许”按钮时选择不决定安全标识符 SID,SID 将在任务在计算机上执行时确定。
定义 Windows 账户安全标识符对于验证 Windows 账户名称是否正确输入是必需的。如果计算机或受信任域中不存在 Windows 账户,则“管理身份验证代理账户”任务将以出错结束。
- 如果您希望 Kaspersky Endpoint Security 为所有基于 Microsoft Windows 的以下字段中输入的“Windows 账户”的身份验证代理账户更改用户名,请选择“更改用户名”复选框,然后为身份验证代理用户账户输入新名称。
- 选择“修改基于密码的身份验证设置”复选框使基于密码的身份验证设置变为可用。
- 如果您希望在身份验证期间应用程序提示用户输入身份验证代理账户以便访问加密硬盘,请选择“允许基于密码的身份验证”。设置身份验证代理账户的密码。
- 如果您希望 Kaspersky Endpoint Security 为所有基于 Microsoft Windows 的以下字段中输入的“Windows 账户”的身份验证代理账户更改密码,请选择“在身份验证代理中进行身份验证时编辑密码更改规则”复选框。
- 在身份验证代理中验证身份时指定密码更改设置的值。
- 选择“修改基于证书的身份验证设置”复选框以便编辑基于令牌或智能卡电子证书的身份验证设置。
- 如果您希望在身份验证期间应用程序提示用户输入连接至计算机的令牌或智能卡以便访问加密硬盘,请选择“允许基于证书的身份验证”。选择一个证书文件以使用智能卡或令牌进行身份验证。
- 如果您希望 Kaspersky Endpoint Security 为所有使用 Microsoft Windows 的以下字段中输入的“Windows 账户”的身份验证代理帐户更改命令描述,请选择“编辑命令描述”复选框。
- 如果您希望 Kaspersky Endpoint Security 为所有 Windows 账户字段中指定的 Microsoft Windows 帐户创建的所有身份验证代理帐户将身份验证代理中身份验证用户访问规则更改为以下指定值,请选择“编辑身份验证代理中的身份验证访问规则”复选框。
- 在身份验证代理中指定访问身份验证对话框的规则。
- 保存更改。
如何通过 Web Console 更改身份验证代理账户
- 在 Web Console 的主窗口中,选择“设备” → “任务”。
任务列表打开。
- 单击 Kaspersky Endpoint Security 的“管理身份验证代理账户”任务。
任务属性窗口将打开。
- 选择“应用程序设置”选项卡。
- 在身份验证代理账户列表中,单击“添加”按钮。
这将启动“身份验证代理账户管理向导”。
- 选择“更改”命令类型。
- 选择用户账户。您可以从域账户列表中选择账户,也可以手动输入账户名称。转到下一步。
Kaspersky Endpoint Security 会确定账户安全标识符 (SID)。这是验证账户所必需的。如果输入的用户名不正确,Kaspersky Endpoint Security 将以出错结束任务。
- 选中要编辑的设置旁边的复选框。
- 配置身份验证代理账户设置。
- “创建新的身份验证代理账户以替换现有账户”。Kaspersky Endpoint Security 将扫描计算机上的现有账户。如果计算机上和任务中的用户安全 ID 匹配,则 Kaspersky Endpoint Security 将根据任务更改用户账户设置。
- “用户名”。身份验证代理账户的默认用户名与用户的域名相对应。
- “允许基于密码的身份验证”。设置身份验证代理账户的密码。如有必要,您可以在首次身份验证后向用户请求新密码。这样,每个用户将拥有自己的唯一密码。您还可以在策略中为身份验证代理账户设置密码强度要求。
- “允许基于证书的身份验证”。选择一个证书文件以使用智能卡或令牌进行身份验证。这样,用户将需要输入智能卡或令牌的密码。
- “账户对加密数据的访问权限”。配置用户对加密驱动器的访问权限。例如,您可以暂时禁用用户身份验证,而不是删除身份验证代理账户。
- “注释”。如有必要,输入账户说明。
- 保存更改。
- 选中任务旁边的复选框,然后单击“开始”按钮。
要删除身份验证代理账户,您需要向“管理身份验证代理账户”任务添加特殊命令。使用组任务很方便,例如,删除已解雇的员工的账户。
如何通过管理控制台 (MMC) 删除身份验证代理账户
- 打开“管理身份验证代理账户”任务的属性。
- 在任务属性中,选择“设置”区域。
- 单击添加 → 账户删除命令。
- 在打开的窗口的“Windows 账户”字段中,指定用于创建您要删除的身份验证代理账户的 Windows 用户账户的名称。
- 如果您手动输入了 Windows 账户名称,请单击“允许”按钮以定义账户安全标识符 (SID)。
如果您单击“允许”按钮时选择不决定安全标识符 SID,SID 将在任务在计算机上执行时确定。
定义 Windows 账户安全标识符对于验证 Windows 账户名称是否正确输入是必需的。如果计算机或受信任域中不存在 Windows 账户,则“管理身份验证代理账户”任务将以出错结束。
- 保存更改。
如何通过 Web Console 删除身份验证代理账户
- 在 Web Console 的主窗口中,选择“设备” → “任务”。
任务列表打开。
- 单击 Kaspersky Endpoint Security 的“管理身份验证代理账户”任务。
任务属性窗口将打开。
- 选择“应用程序设置”选项卡。
- 在身份验证代理账户列表中,单击“添加”按钮。
这将启动“身份验证代理账户管理向导”。
- 选择“删除”命令类型。
- 选择用户账户。您可以从域账户列表中选择账户,也可以手动输入账户名称。
- 保存更改。
- 选中任务旁边的复选框,然后单击“开始”按钮。
结果,在下次计算机启动时,当任务完成后,用户将无法完成身份验证过程和加载操作系统。Kaspersky Endpoint Security 将拒绝对加密数据的访问。
要查看可以通过代理完成身份验证并加载操作系统的用户列表,您需要转到受管理计算机的属性。
如何通过管理控制台 (MMC) 查看身份验证代理账户列表
- 打开 Kaspersky Security Center Administration Console。
- 在控制台树中,选择“设备”。
- 双击以打开计算机属性窗口。
- 在计算机属性窗口中,选择“任务”区域。
- 在任务列表中,选择“管理身份验证代理账户”并双击打开任务属性。
- 在任务属性中,选择“设置”区域。
结果,您将能够访问此计算机上的身份验证代理账户列表。只有列表中的用户可以通过代理完成身份验证并加载操作系统。
如何通过 Web Console 查看身份验证代理账户列表
- 在 Web Console 的主窗口中,选择“设备”→“受管理设备”。
- 单击要查看其上的身份验证代理账户列表的计算机的名称。
- 在计算机属性中选择“任务”选项卡。
- 在任务列表中,选择“管理身份验证代理账户”。
- 在任务属性中,选择“应用程序设置”选项卡。
结果,您将能够访问此计算机上的身份验证代理账户列表。只有列表中的用户可以通过代理完成身份验证并加载操作系统。
页面顶部