IIS 应用程序池帐户密码重置
通常,IIS应用程序池使用Window域帐户身份运行。 每当域控制器中更改域帐户的密码时,新密码必须在所有关联的应用程序池中更新,以确保web应用程序可以无障碍地运行。 对于IT管理员来说,对每个域帐户手动更改密码是一项乏味的工作。
PAM360能够识别存储在 PAM360 中的特定 Windows 域帐户运行的 IIS 应用程序池。 重置 PAM360 中存储的域帐户的密码时,它会找出使用该特定域帐户运行的应用程序池,并在重置域帐户密码后自动更新应用程序池。
要将应用程序池帐户添加到PAM360并实现自动密码重置,请参考以下步骤:
步骤摘要
- 步骤 1:将域控制器添加为资源。
- 步骤 2:将域成员服务器添加为新资源并创建资源组。
- 步骤 3:添加用于运行IIS应用程序的域帐号。
- 步骤 4:为IIS应用程序池帐户配置远程密码重置。
- 步骤 5:为IIS应用程序池帐户关联资源组。
- 步骤 6:验证支持的IIS应用程序池帐户。
- 步骤 7:更改密码。
注意:用例说明
为了便于您理解,可参考以下实例:
- 域控制器为DC1。
- Windows域名是 PAM360DC。
- 域管理员帐户是 DA1
- 应用程序池帐户是 A1 和 A2。
- 使用应用程序池帐户A1的域成员服务器是Win1、Win2、Win3和Win4。
- 资源组为RG1 ,由 Win1 、 Win2 、 Win3 和 Win4 组成。
步骤 1:将域控制器添加为资源。
- 导航到资源选项卡。
- 点击添加资源,选择手动添加。
- 在打开的窗口中,添加域控制器DC1 ,"资源类型"选择"Windows" 。
- 域名字段填写"PAM360DC",
- 填写其他详细信息,如DNS。
- 点击保存并继续。
步骤 2:添加域管理员帐户和 IIS 应用程序池帐户。
- 导航到资源选项卡。
- 点击该资源的资源动作图标,从下拉列表中选择添加帐户。
- 在弹出窗口中,添加域管理员帐户DA1。
- 以同样方式添加应用程序池帐户A1,A2。完成后,点击保存。
步骤 3:把域成员服务器添加为新资源并创建资源组。
把成员服务器Win1,Win2,Win3 和 Win4添加为新资源,添加方式与上述相同。
- 导航到资源选项卡。
- 点击添加资源按钮,添加域成员服务器及其各自的本地帐户。
- 导航到组选项卡,点击添加组,从下拉列表中选择动态组。
- 在弹出窗口中,将组命名为RG1,选择匹配以下任意条件,资源名称为Win1 , Win2 , Win3 和 Win4。
- 保存。
或者:自动发现资源和相关帐户
除了步骤3中的手动添加外,您还可以按照以下步骤来发现域中所需的资源和组:
- 导航到资源选项卡。
- 选择资源列表顶部发现资源。
- 选择"Windows",并在页面填写您的域详细信息( PAM360DC ),然后点击获取组和组织单位。
- 从枚举列表中选择要导入的组或组织单位。
- 点击导入,PAM360将提取您的组或组织单位并列出。
- 导入的组或组织单位中的成员服务器将列在资源下,包括他们各自的本地账户。
步骤 4:为 IIS 应用程序池帐户配置远程密码重置。
请参考以下步骤:
- 导航到资源选项卡。
- 点击DC1资源的资源动作图标,从下拉列表中选择配置远程密码重置。
- 在弹出窗口中,选择域管理员( DC1 )帐户作为管理员帐户。
- 点击保存。
步骤 5: 关为IIS应用程序池帐户关联资源组。
- 点击DC1资源名称。
- 点击账户动作图标,从下拉列表中选择编辑帐户。
- 选择要关联的资源组。
- 如果您希望 PAM360 在更新应用程序池后立即重新启动应用程序池,请选中重启IIS应用程序池。
- 点击保存。
步骤 6:验证支持的IIS应用程序池帐户
- 点击DC1资源名称。
- 选择应用程序池帐户并点击并点击IIS应用程序池按钮。
- 在弹出窗口中,点击支持的IIS应用程序池帐户下的立即获取。
- PAM360将扫描并列出在服务器中运行的所有应用程序池以及相应的应用程序池帐户。查看列表后点击确定即可。
注意:此步骤是基于验证目的,检查应用程序池帐户正在何处使用,并非必须步骤。
步骤 7- 更改密码
- 点击DC1资源名称。
- 点击应用程序池帐户的帐户操作图标,然后从下拉列表中选择更改密码。
- 在的弹出窗口中,填写新密码或点击生成新密码,请确保启用应用密码更改到远程资源选项。
- 点击保存,PAM360 将立即先重置域中的密码,然后在所有使用该账户运行应用程序池的服务器上自动更新密码。
计划 IIS 应用程序池帐户定期密码重置的其他步骤
上述步骤可以随时按需对应用程序池帐户进行密码重置。 如果要配置定期自动密码重置,请按照以下步骤操作:
要为应用程序池帐户配置计划密码重置,
- 先创建一个资源组,由所有所需的应用程序池帐户组成。
- 点击资源组的操作图标,从下拉列表中选择计划密码重置。
- 按照以下四步进行配置:
步骤 1:重置密码前通知
在计划时间重置密码前,可以事先向用户发送通知,让他们知道重置操作。
要发送通知,- 选择在密码重置操作前多久进行发送通知。
- 您还可以指定接收通知的收件人。
- 有权访问指定密码的用户:拥有相应权限(只读/读写/管理)的用户。
- 从列表中选择用户:从列表中选择其他用户。
- 指定电子邮件地址:向指定的电子邮件地址列表发送通知。
- 点击下一步。
步骤 2:密码分配
计划重置提供三种不同的密码分配方式:
- 您可以选择为每个账户随机生成唯一性的密码。 该密码基于每个账户帐户设置的密码策略生成。
- 您可以在相应文本字段中指定新密码,将此新密码分配到组内的所有帐户。 该配置需要您首先配置针对组的密码策略。
- 您还可以选择将相同的密码分配给所有用户账户,该密码将在每次计划执行时更新。该配置需要您首先配置针对组的密码策略。
- 选择所需的选项,然后点击“下一步”。
步骤 3:重置周期
此步骤可以指定重置密码的时间。重置可以一次性执行,也可以设置为定期执行。
指定重置计划:- 从选项中选择并设置重置的时间计划,然后点击"下一步"。
步骤 4:通知
完成密码重置计划后,您可以通过配置向所有有权访问密码的人发送关于密码重置的通知。
要发送通知,请指定通知的收件人:- 有权访问密码的用户:拥有相应权限(只读/读写/管理)的用户。
- 从列表中选择:从用户列表中选择的其他用户。
- 指定电子邮件地址:向指定的电子邮件地址列表发送通知。
选择需要的选项后,点击完成,密码重置计划便已成功创建。
完成这些步骤后,PAM360将启用定期重置应用程序池帐户密码。