Windows önbelleğe alınmış kimlik bilgilerini güncellemek

Bir kullanıcı bir Active Directory etki alanında ilk kez oturum açtığında, oturum açma kimlik bilgileri makinesinde yerel olarak önbelleğe alınır. Önbelleğe alınan bu kimlik bilgileri, makine Active Directory'ye, yani şirket ağına her bağlandığında oturum açma sırasında güncellenir. Kurumsal ağa bağlı olmayan uzak bir kullanıcı makinesinde oturum açtığında, oturum açma bilgileri makinesinde depolanan önbelleğe alınmış kimlik bilgileriyle yerel olarak doğrulanır. Doğrulama başarılı olursa, makineye erişebilirler. Kısacası, önbelleğe alınan kimlik bilgileri, kullanıcıların kimlik doğrulama için Active Directory etki alanı denetleyicisine ulaşma yolları olmasa bile makinelerinde oturum açmalarına olanak tanır.

Uzak kullanıcıların karşılaştığı önemli bir sorun, makinelerine erişmelerini engelleyen eski önbelleğe alınmış kimlik bilgilerinin neden olduğu bir uyumsuzluktur. Kullanıcılar iş için birden fazla cihaz kullandıklarında önbelleğe alınan kimlik bilgilerinde uyumsuzluklar meydana gelmesi muhtemeldir. İki farklı cihaz kullanarak hibrit modelde çalışan bir çalışanı ele alalım: ofiste masaüstü cihaz ve evde dizüstü bilgisayar. Çalışanın kısa süre önce Active Directory parolasını değiştirdiğini ve ofisten etki alanına bağlı masaüstü cihazında çalıştığını varsayalım. Cihazın güncelleme için şirket ağına bağlantısı olmadığından, dizüstü bilgisayarlarının önbelleğe alınmış kimlik bilgileri hala eski parolayı içerecektir. Bunu unutan çalışan, uzaktan çalışırken dizüstü bilgisayarında yeni şifresiyle oturum açmaya çalışabilir ve birden fazla denemeden sonra kilitlenebilir. Alternatif olarak, birkaç denemeden sonra çalışanın dizüstü bilgisayarında hala eski şifrenin önbelleğe alındığını fark ettiğini ve oturum açma sırasında bunu kullanmaya devam ettiğini varsayalım. Ancak, olası olmayan bir durumda, çalışan dizüstü bilgisayarını ofise getirirse, kurumsal ağa bağlanır ve önbelleğe alınan kimlik bilgileri bilgisi olmadan güncellenir. Çalışan artık oturum açma sırasında alışkanlıkla eski şifresini girebilir ve birden fazla denemeden sonra kilitlenebilir.

Her parola sıfırlama veya değişikliğinden sonra, ADSelfService Plus bir VPN istemcisi kullanan veya VPN istemcisi kullanmayan uzak kullanıcılar için önbelleğe alınmış kimlik bilgileri güncellemesi sağlar. Windows oturum açma aracısı olarak da bilinen GINA/Credential Provider istemcisi ile birlikte gelir ve uzak kullanıcıların doğrudan oturum açma ekranlarından güvenli bir self servis parola sıfırlaması gerçekleştirmelerine olanak tanır ve sonrasında Windows makinelerinin önbelleğe alınmış kimlik bilgilerini zorla günceller.

ADSelfService Plus'ın önbelleğe alınmış kimlik bilgileri güncellemesinin VPN kullanmayan uzak Windows kullanıcıları için nasıl çalıştığı aşağıda açıklanmıştır.

• Uzak bir kullanıcı Active Directory parolasını unuttuğunda, parolasını oturum açma ekranından sıfırlamak için ADSelfService Plus'ın oturum açma aracısını kullanır.
  
• Kullanıcılar MFA aracılığıyla kimliklerini doğruladıktan ve parolalarını sıfırladıktan sonra ADSelfService Plus, Active Directory'yi yeni parola ile günceller.
  
• Yeni parola Active Directory'de güncellendiğinde, oturum açma aracısı kullanıcıların makinelerindeki yerel önbelleği yeni parola ile otomatik olarak günceller.
  

• Parola sıfırlama çağrılarını azaltın: Self servis parola sıfırlama ve önbelleğe alınmış kimlik bilgilerini güncelleme özellikleriyle uzak kullanıcıları güçlendirin ve parolayla ilgili yardım masası biletlerini sınırlayın.
  
• Çalışan verimliliğini artırın: Uzak kullanıcılara parolalarını unutsalar bile makinelerine hızlı bir şekilde yeniden erişim sağlama olanağı tanıyarak büyük iş kesintilerinin önüne geçin.
  
• Maliyetleri azaltın: Yardım masası yardımı yoluyla parolaları sıfırlamak ve önbelleğe alınmış kimlik bilgilerini güncellemek için makineleri kurumsal ağa bağlamak hem zaman alıcı hem de pahalı süreçlerdir ve ADSelfService Plus kullanılarak bu süreçler kolayca ortadan kaldırılabilir.
  

1. Yönetici kimlik bilgileriyle ADSelfService Plus'ta oturum açın.
   
2. Configuration > Administrative Tools > GINA/Mac/Linux (Ctrl+Alt+Del) sayfasına gidin.
   
3. Windows Cached Credential Update tıklayın.

4. Enable Cached Credential Update seçeneğini etkinleştir.

5. Update cached credentials without a VPN client Seç.

6. Kaydet

AD'ye bir VPN aracılığıyla bağlanmadan önbelleği güncellemek, uygulamaların DPAPI kullanarak hassas verileri nasıl alacağını etkileyen birkaç sınırlamaya sahip olabilir. Buna Internet Explorer ve Google Chrome gibi parolaları ve form otomatik tamamlama verilerini kullanan uygulamalar, Credential Manager'da depolanan ağ parolaları, Şifreleme Dosya Sistemi (EFS) için özel anahtarlar ve Internet Information Services'daki SSL/TLS dahildir.

Örneğin, Chrome tarayıcısına kaydedilen parolalar DPAPI kullanılarak saklanır ve alınır; bu da önbelleğe alınan parolanın güncellenmesi sırasında istemcinin AD'ye bağlanmış olmasını gerektirir. Önbellek AD'ye VPN bağlantısı olmadan güncellenirse, makine bir sonraki AD'ye bağlanana kadar Chrome depolanan kullanıcı bilgilerini alamaz.

Önbelleğe Alınan Kimlik Bilgilerinin VPN olmadan güncellenmesi yalnızca Windows Server 2008 R2 ve sonraki sürümleri çalıştıran Windows sunucularında ve Windows 7 ve sonraki sürümleri çalıştıran Windows istemcilerinde desteklenir.