安全配置
本文包含确保安全部署和配置自助服务密码重置组件需要执行的过程。
- 创建具有重置用户密码和解锁用户帐户权限的域用户帐户
- 配置防火墙设置
创建自助服务帐户
如果要使用自助服务密码重置的密码重置或帐户解锁功能,请在服务配置过程中指定自助服务模块用于执行密码重置和帐户解锁操作的自助服务帐户。请确保该帐户具有足够的权限,但建议您不用使用域管理员组中的帐户进行生产部署。建议授予的帐户权限如下:
- 域成员
- 相关域用户的密码重置和帐户解锁权限
在 Active Directory 用户和计算机中,创建要具有重置用户密码和解锁用户帐户权限的组或用户帐户。
- 在 Active Directory 用户和计算机中,右键单击域,然后在菜单中单击委派控制。
- 此时将显示控制委派向导。在欢迎对话框中,单击下一步。
- 在用户和组对话框中,单击添加。在列表中选择要向其授予解锁帐户权限的组,然后单击确定。在用户和组对话框中,单击下一步。
- 在要委派的任务对话框中,单击创建自定义任务去委派,然后单击下一步。
- 在 Active Directory 对象类型对话框中,单击“只是在这个文件夹中的下列对象”>“用户对象”,然后单击下一步。
- 在权限对话框中,选中常规和特定属性对话框。在权限列表中,选中读取 lockoutTime、写入 lockoutTime、重置密码、更改密码、读取 userAccountControl、写入 userAccountControl、读取 pwdLastSet 和写入 pwdLastSet 复选框,然后单击下一步。
- 在完成控制委派向导对话框中,单击完成。
配置防火墙设置
由于自助服务密码重置服务器和中央存储服务器组件负责管理用户密码,因此,我们强烈建议您在可信网络中部署这些组件,并且这些组件只能由特定的可信组件进行访问。本节介绍了用于确保您为这些服务器正确配置 Windows 防火墙的步骤。我们还建议您配置现有网络基础结构,以确保将这些服务器与不可信网络流量隔离开来。
在部署中完成这些配置后,只能使用服务器消息块 (SMB) 从自助服务密码重置服务器访问自助服务密码重置中央存储服务器。并且只能通过 HTTPS 连接从 StoreFront 服务器访问自助服务密码重置服务器。
面向 Windows 2012 R2 的远程文件共享部署
环境
- 请在专用服务器上部署自助服务密码重置组件。请勿将这些组件与现有 StoreFront 或 Delivery Controller 组件部署在相同的服务器上。否则,下面显示的防火墙配置可能会阻止 StoreFront 或 Controller 流量。
- StoreFront 与自助服务密码重置服务器之间不存在非透明 HTTP/HTTPS 代理。
如果 StoreFront 与自助服务密码重置服务器之间存在任何非透明代理,请在防火墙规则中将自助服务密码重置服务器配置为只能从代理服务器访问。
- 这些过程中的配置建立在 Windows 默认防火墙规则的基础之上。
为自助服务密码重置中央存储配置防火墙
完成配置后,入站时,只能从自助服务密码重置服务器访问自助服务密码重置中央存储提供的 SMB 服务。并且在出站时,自助服务密码重置中央存储服务器只能访问企业网络上的服务。
1. 打开服务器管理器,并从顶部导航栏上的工具菜单中选择高级安全 Windows 防火墙。
2. 在高级安全 Windows 防火墙中,选择中央窗格中的 Windows 防火墙属性。有三个防火墙配置文件,即域配置文件、专用配置文件和公用配置文件。选择域配置文件选项卡。请务必将防火墙状态设置为开,将入站连接设置为阻止,将出站连接设置为允许。
3. 选择专用配置文件和公用配置文件选项卡。请务必将防火墙状态设置为开,将入站连接和出站连接设置为阻止。应用并保存所做的更改。
4. 在入站规则中,选择文件和打印机共享(SMB-In),并且务必将此规则设置为已启用,将操作设置为允许连接。
5. 在文件和打印机共享(SMB-In)属性中,转到范围选项卡。选择这些 IP 地址,并将所有自助服务密码重置服务器 IP 地址添加到列表中。例如,自助服务密码重置服务器 A (192.168.1.10) 和自助服务密码重置服务器 B (192.168.1.11)。
6. 在文件和打印机共享(SMB-In)属性中,更改到高级选项卡,选择配置文件域、专用和公用,并保存对此规则所做的更改。
7. 在文件服务器远程管理(SMB-In) 和文件和打印机共享 (NB-Session-In) 的入站规则上重复此步骤。
为自助服务密码重置服务器配置防火墙
完成配置后,只能使用 HTTPS 通过 StoreFront 服务器访问自助服务密码重置服务器提供的 Web 服务。并且自助服务密码重置服务器只能访问企业网络中的服务。
1. 打开服务器管理器,并从顶部导航栏上的工具菜单中选择高级安全 Windows 防火墙。
2. 在高级安全 Windows 防火墙中,选择中央窗格中的 Windows 防火墙属性。有三个防火墙配置文件,即域配置文件、专用配置文件和公用配置文件。选择域配置文件选项卡。请务必将防火墙状态设置为开,将入站连接设置为阻止,将出站连接设置为允许。
3. 选择专用配置文件和公用配置文件选项卡,务必将防火墙状态设置为开。并且将入站连接和出站连接设置为阻止。应用并保存所做的更改。
4. 在入站规则中选择万维网服务(HTTP 流入量)。并且务必将此规则设置为已启用,将操作设置为阻止连接。
5. 在万维网服务(HTTP 流入量)属性中,转到高级选项卡。选择配置文件域、专用和公用,并保存对此规则所做的更改。
6. 在入站规则中选择万维网服务(HTTPS 流入量)。务必将此规则设置为已启用,将操作设置为允许连接。
7. 在万维网服务(HTTPS 流入量)属性中,转到范围选项卡。选择这些 IP 地址,然后将所有 StoreFront 服务器 IP 地址添加到列表中。例如,StoreFront A (192.168.1.50) 和 StoreFront B (192.158.1.51)。
8. 在万维网服务(HTTPS 流入量)属性中,转到高级选项卡。选择配置文件域、“专用”和公用,并保存对此规则所做的更改。