Benachrichtigung

Planen Sie Ihre Strategie für die Rückkehr ins Büro? Sehen Sie sich im Hilfeartikel Chromebooks für die Telearbeit einrichten an, wie Chrome OS Ihnen helfen kann.

Wie funktioniert Change Password Notifier for Active Directory?

Nachdem CPN for AD installiert und konfiguriert wurde, wird das Passworttoken eines Nutzers ungültig, wenn ein Active Directory-Nutzer sein Passwort ändert.

  1. Bei Änderung eines Nutzerpassworts wird eine Aktualisierungsanforderung an einen Domaincontroller (DC) gesendet.
  2. Die CPN for AD-DLL (Dynamic Link Library) wird von Microsoft Windows auf diesem DC mit dem Nutzernamen aufgerufen.
  3. Der Dienst empfängt den Nutzernamen von der DLL.
  4. Der CPN-Dienst hängt den Domainnamen aus der Konfigurationsdatei (ChangedPasswordNotifier.config, Parameter domain) an den Nutzernamen an, um die E-Mail-Adresse des Nutzers abzuleiten.
  5. Der Dienst aktualisiert Ihr Google-Konto mithilfe der Device Token API. Sie müssen die API auf die Zulassungsliste setzen und den HTTPS-Port 443 öffnen. Damit die Google Workspace APIs korrekt funktionieren, müssen Sie mehrere Ports öffnen und einige Hostnamen auf die Zulassungsliste setzen.
    Zweck URL

    Authentifizierung

    Weitere Informationen finden Sie unter Using OAuth 2.0 for Web Server Applications.

    https://accounts.google.com/o/oauth2

    https://www.googleapis.com/oauth2

    https://oauth2.googleapis.com/token
    API-Einstiegspunkt

    https://*.googleapis.com

    (wobei * für einen beliebigen String steht, der keinen Punkt enthält)
  6. Der Nutzer wird dann aufgefordert, sich online anzumelden oder sein Gerät abhängig von der Einrichtung der SAML-SSO-Richtlinie zu entsperren, um das lokale ChromeOS-Passwort zu aktualisieren. Weitere Informationen finden Sie in Schritt 4 unter SAML-SSO für ChromeOS-Geräte konfigurieren.

Technische Details

  • CPN for AD hat die DLL changed_password_notifier_dll.dll, die als LSA-Benachrichtigungspaket installiert ist. Weitere Informationen zu LSA-Benachrichtigungspaketen finden Sie unter Passwortfilter-DLL installieren und registrieren.
  • Wenn ein Passwort auf einem bestimmten DC geändert wird, empfängt die DLL den Nutzernamen des Nutzers. CPN for AD muss auf jedem beschreibbaren DC installiert werden, da Windows auf dem DC, der die Passwortänderung erhält, die Passwortsynchronisierung auslöst. Der Trigger wird bei jeder Passwortaktualisierung ausgelöst, unabhängig davon, ob sie von einem Administrator oder vom Endnutzer vorgenommen wurde. Weitere Informationen zur Callback-Funktion PasswordChangeNotification finden Sie unter PSAM_PASSWORD_ALERT_ROUTINE.
  • Wenn die DLL den Nutzernamen erhält, sendet sie ihn an den Dienst „CPN for ADN“.
  • Der Dienst „CPN for AD“ ChangedPasswordNotifier.exe hängt den Domainnamen aus der Konfigurationsdatei (ChangedPasswordNotifier.config, Parameter domain) an den Nutzernamen an, um die E-Mail-Adresse des Nutzers abzuleiten.
  • Der Dienst „CPN for AD“ benachrichtigt das Google-Konto über die Device Token API. Je nach Einrichtung der SAML-SSO-Richtlinie müssen sich Nutzer online anmelden, wenn sie sich das nächste Mal auf dem Anmelde- oder Sperrbildschirm ihrer ChromeOS-Geräte befinden. Weitere Informationen finden Sie in Schritt 4 unter SAML-SSO für ChromeOS-Geräte konfigurieren.
  • Der Dienst „CPN for AD“ entspricht den Microsoft-Kriterien zur Programmierung von Passwortfiltern. Weitere Informationen finden Sie unter Kriterien zur Programmierung von Passwortfiltern.
 
Google sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.

War das hilfreich?

Wie können wir die Seite verbessern?
true
Suche
Suche löschen
Suche schließen
Hauptmenü
4443614788495071065
true
Suchen in der Hilfe
true
true
true
true
true
410864
false
false