安全配置

• 本文包含确保 Self-Service Password Reset 组件安全部署和配置所需的步骤。

• 创建域用户帐户以重置用户密码并解锁用户帐户权限

• 配置防火墙设置

• 创建自助服务帐户

如果您正在使用 Self-Service Password Reset 的“密码重置”或“帐户解锁”功能，请在“服务配置”期间指定一个自助服务帐户，该帐户将由自助服务模块用于执行密码重置和帐户解锁。请确保该帐户具有足够的权限，但我们不建议在生产部署中使用“域管理员”组中的帐户。建议的帐户权限如下：

• 域成员
• 针对相关域用户的密码重置和帐户解锁权限

在 Active Directory 用户和计算机中，创建具有重置用户密码和解锁用户帐户权限的组或用户帐户。

1. 在 Active Directory 用户和计算机中，右键单击域，然后从菜单中单击委派控制。
2. 将显示委派控制向导。在欢迎对话框中，单击下一步。
3. 在用户和组对话框中，单击添加。选择列表中要授予帐户解锁权限的组，然后单击确定。在用户和组对话框中，单击下一步。
4. 在要委派的任务对话框中，单击创建要委派的自定义任务，然后单击下一步。
5. 在Active Directory 对象类型对话框中，单击“仅以下文件夹中的对象”>“用户对象”，然后单击下一步。
6. 在权限对话框中，选中常规和属性特定复选框。在权限列表中，选中读取 lockoutTime、写入 lockoutTime、重置密码、更改密码、读取 userAccountControl、写入 userAccountControl、读取 pwdLastSet 和写入 pwdLastSet 复选框，然后单击下一步。

• 1. 在完成委派控制向导对话框中，单击完成。

配置防火墙设置

由于 Self-Service Password Reset 服务器和中央存储服务器组件管理用户密码，我们强烈建议您将这些组件部署在受信任的网络上，并且只能由特定的受信任组件访问。本节介绍确保为这些服务器正确配置 Windows 防火墙的步骤。我们还建议您配置现有网络基础结构，以确保这些服务器与不受信任的网络流量隔离。

完成部署中的这些配置后，Self-Service Password Reset 中央存储服务器只能通过 Server Message Block (SMB) 从 Self-Service Password Reset 服务器访问。并且 Self-Service Password Reset 服务器只能通过 HTTPS 连接从 StoreFront™ 服务器访问。

Windows 2012 R2 的远程文件共享部署

环境

• 将 Self-Service Password Reset 组件部署在专用服务器上。请勿将其部署在与现有 StoreFront 或 Delivery Controller™ 组件相同的服务器上。否则，下面显示的防火墙配置可能会阻止 StoreFront 或控制器流量。
• StoreFront 与 Self-Service Password Reset 服务器之间没有非透明 HTTP/HTTPS 代理。

如果 StoreFront 与 Self-Service Password Reset 服务器之间存在任何非透明代理，请配置 Self-Service Password Reset 服务器，使其在防火墙规则中只能从代理服务器访问。

• 这些步骤中的配置基于 Windows 默认防火墙规则。

配置 Self-Service Password Reset 中央存储的防火墙

完成配置后，Self-Service Password Reset 中央存储提供的 SMB 服务只能从入站的 Self-Service Password Reset 服务器访问。并且 Self-Service Password Reset 中央存储服务器只能从出站访问公司网络上的服务。

1. 打开“服务器管理器”，然后从顶部导航栏上的工具菜单中，选择带高级安全性的 Windows 防火墙。

2. 在带高级安全性的 Windows 防火墙中，选择中间窗格中的Windows 防火墙属性。有三个防火墙配置文件 - 域、专用和公用。选择域配置文件选项卡。确保防火墙状态设置为开，入站连接设置为阻止，出站连接设置为允许。

1. 选择专用配置文件和公用配置文件选项卡。确保防火墙状态设置为开，并且入站连接和出站连接都设置为阻止。应用并保存更改。

2. 从入站规则中，选择文件和打印机共享 (SMB-In)，并确保此规则已启用且操作设置为允许连接。

1. 在文件和打印机共享 (SMB-In) 属性中，切换到范围选项卡。选择这些 IP 地址并将所有 Self-Service Password Reset 服务器 IP 地址添加到列表中。例如，Self-Service Password Reset 服务器 A (192.168.1.10) 和 Self-Service Password Reset 服务器 B (192.168.1.11)。

2. 在文件和打印机共享 (SMB-In) 属性中，切换到高级选项卡，选择域、专用和公用配置文件，然后保存此规则的更改。

3. 对文件服务器远程管理 (SMB-In) 和文件和打印机共享 (NB-Session-In) 的入站规则重复此过程。

配置 Self-Service Password Reset 服务器的防火墙

完成配置后，Self-Service Password Reset 服务器提供的 Web 服务只能由 StoreFront 服务器使用 HTTPS 访问。并且 Self-Service Password Reset 服务器可以访问公司网络上的服务。

1. 打开“服务器管理器”，然后从顶部导航栏上的工具菜单中，选择带高级安全性的 Windows 防火墙。

2. 在带高级安全性的 Windows 防火墙中，选择中间窗格中的Windows 防火墙属性。有三个防火墙配置文件 - 域、专用和公用。选择域配置文件选项卡。确保防火墙状态设置为开，入站连接设置为阻止，出站连接设置为允许。

1. 选择专用配置文件和公用配置文件选项卡，并确保防火墙状态设置为开。并且入站连接和出站连接都设置为阻止。应用并保存更改。

2. 从入站规则中，选择万维网服务 (HTTP 入站流量)。并确保此规则已启用且操作设置为阻止连接。

3. 在万维网服务 (HTTP 入站流量) 属性中，切换到高级选项卡。选择域、专用和公用配置文件，然后保存此规则的更改。

4. 从入站规则中，选择万维网服务 (HTTPS 入站流量)。确保此规则已启用且操作设置为允许连接。

1. 在“万维网服务 (HTTPS 入站流量) 属性”中，切换到“作用域”选项卡。选择“这些 IP 地址”，并将所有 StoreFront 服务器 IP 地址添加到列表中。例如，StoreFront A (192.168.1.50) 和 StoreFront B (192.158.1.51)。

2. 在“万维网服务 (HTTPS 入站流量) 属性”中，切换到“高级”选项卡。选择配置文件“域”、“专用”和“公用”，然后保存此规则的更改。