Скрипты автоматической разавторизации
Last updated
Last updated
Разавторизация пользователей возможна в полностью автоматическом режиме.
Для этого нужно настроить скрипт, исполняемый при выходе пользователей из системы logout. Это можно сделать с помощью групповых политик домена (GPO).
Для работы скрипта выполните все настройки политик безопасности домена и браузера, описанные в статье Авторизация пользователей.
Для авторизации по SSO используйте Ideco агент.
Приостанавливается синхронизация с AD, если локальные пользователи Ideco UTM находятся в группах AD. Для возобновления синхронизации вынесите локальных пользователей из групп AD. Автоматическая синхронизация произойдет через 15 минут.
Удобно применять скрипт, когда один компьютер используют разные пользователи. Cкрипт можно скачать из веб-интерфейса, нажав кнопку Скачать скрипт для разавторизации. В разделе Пользователи -> Авторизация установите галку Веб-аутентификация:
Для работы скрипта разавторизации пользователя установите сертификат сервера в качестве доверенного корневого центра сертификации на компьютеры пользователей. Можно сделать это локально или через групповые политики домена, как описано в инструкции.
Также необходимо отключить предупреждение о несоответствии адреса сертификата в свойствах Internet Explorer:
Этот параметр также можно установить через GPO, изменив параметр реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings параметр WarnonBadCertRecving = 0
Добавьте скрипт, выполняемый при выходе пользователя из системы:
1. Откройте групповые политики (gpedit.msc) от имени администратора на устройстве пользователя;
2. Перейдите в Конфигурации пользователя, далее в Конфигурации Windows:
4. Нажмите Сценарии (вход/выход из системы);
5. Откройте Выход из системы и перейдите на вкладку Сценарии PowerShell:
6. Нажмите Добавить и выберите скачанный файл UTM_logout.ps1 нажав на кнопку Обзор:
7. Обновите групповые политики, выполнив команду gpupdate /force
в консоли.
Если в Internet Explorer появляется окно с текстом Для получения доступа требуется аутентификация, и авторизация происходит только при ручном переходе по ссылке. Установите параметр Активные сценарии в Internet Explorer в значение Включить.
Автоматически групповая политика обновляется не сразу после внесения изменений. Чтобы скрипты начали работать, обновите политику вручную командой gpupdate /force
на рабочей станции.