Скрипты автоматической разавторизации
Last updated
Last updated
Разавторизация пользователей возможна в полностью автоматическом режиме.
Для этого нужно настроить скрипт, исполняемый при выходе пользователей из системы logout. Это можно сделать с помощью групповых политик домена (GPO).
Для работы скрипта выполните все настройки политик безопасности домена и браузера, описанные в статье Авторизация пользователей.
Для авторизации по SSO используйте Ideco агент.
Удобно применять скрипт, когда один компьютер используют разные пользователи. Cкрипт можно скачать из веб-интерфейса, нажав кнопку Скачать скрипт для разавторизации. В разделе Пользователи -> Авторизация установите галку Веб-аутентификация:
Для работы скрипта разавторизации пользователя установите сертификат сервера в качестве доверенного корневого центра сертификации на компьютеры пользователей. Можно сделать это локально или через групповые политики домена, как описано в инструкции.
Также необходимо отключить предупреждение о несоответствии адреса сертификата в свойствах Internet Explorer:
Этот параметр также можно установить через GPO, изменив параметр реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings параметр WarnonBadCertRecving = 0
Добавьте скрипт, выполняемый при выходе пользователя из системы:
1. Откройте групповые политики (gpedit.msc) от имени администратора на устройстве пользователя;
2. Перейдите в Конфигурации пользователя, далее в Конфигурации Windows:
4. Нажмите Сценарии (вход/выход из системы);
5. Откройте Выход из системы и перейдите на вкладку Сценарии PowerShell:
6. Нажмите Добавить и выберите скачанный файл UTM_logout.ps1 нажав на кнопку Обзор:
7. Обновите групповые политики, выполнив команду gpupdate /force в консоли.
Если в Internet Explorer появляется окно с текстом Для получения доступа требуется аутентификация, и авторизация происходит только при ручном переходе по ссылке. Установите параметр Активные сценарии в Internet Explorer в значение Включить.
Автоматически групповая политика обновляется не сразу после внесения изменений. Чтобы скрипты начали работать, обновите политику вручную командой gpupdate /force на рабочей станции.
