Installation

Der folgende Inhalt richtet sich an IT-Administratoren und kann zur Installation und Bewertung von Specops Authentication verwendet werden. Weitere Informationen zu den unten verwendeten Komponenten und Konzepten finden Sie in der Specops Authentication Übersicht.

Die empfohlene Installation besteht darin, das selbstextrahierende Installationspaket herunterzuladen und die Schritte im Installationsassistenten abzuschließen.

Alternativ, wenn Ihre Organisation Windows Server Core (ohne GUI) verwendet, können Sie das auf PowerShell-Skripten basierende Installationsverfahren verwenden.

Anforderungen

Die Umgebung Ihrer Organisation muss die folgenden Anforderungen erfüllen:

Komponente	Anforderung
Gatekeeper-Server-Computer	Vollständig gepatchtes Betriebssystem erforderlich Mit Ihrer Active Directory-Domäne verbunden Windows Server 2016/2019/2022 (Core oder Desktop-Erfahrung) .Net Framework 4.7.2 oder höher
Gatekeeper Admin Tool	Mit Ihrer Active Directory-Domäne verbunden Windows 10/11 oder Windows Server 2016/2019/2022 .Net Framework 4.7.2 oder höher
Specops Client	Windows 10 x64, Windows 11 x64 oder Windows Server 2016/2019/2022 Secure Access wird auf Domänencontrollern nicht unterstützt. .Net Framework 4.7.2 oder höher Für Passwortzurücksetzungen mit uReset 8, Secure Access und Specops Password Reset sollte das Specops Cefsharp Runtime MSI installiert werden. Specops Secure Access erfordert .Net 8 Desktop Runtime, die auf Client-Computern bereitgestellt wird.
Administrative Berechtigungen	Sowohl für Active Directory als auch für den Gatekeeper-Server-Computer. Es wird empfohlen, die Installation als Domänenadministrator durchzuführen.
Kontenoptionen	Es gibt drei Optionen für das Konto, unter dem der Gatekeeper-Windows-Dienst ausgeführt wird. Bereiten Sie sich darauf vor, eine der folgenden zu verwenden: Verwaltetes Dienstkonto (empfohlen): Die Verwendung eines verwalteten Dienstkontos für den Gatekeeper ist einfach, ohne dass zusätzliche Maßnahmen für Sie als Installationsadministrator erforderlich sind. Das Skript erstellt ein verwaltetes Dienstkonto in Ihrem Active Directory. Wenn der sAMAccountName des Gatekeeper-Servers in Active Directory „SRV17“ ist, lautet der Name des verwalteten Dienstkontos „SGkSRV17$“. Domänenkonto: Wenn Sie ein Domänenkonto verwenden möchten, muss es vor der Installation erstellt werden. Sie benötigen den sAMAccountName und das Passwort des Kontos. Gruppenverwaltetes Dienstkonto: Ein gültiges Dienstkonto, das der Gatekeeper-Computer verwenden darf, muss zuerst erstellt werden.
Sicherheitsgruppen	Das Installationsskript erstellt Sicherheitsgruppen, die von Specops Authentication verwendet werden. Es sind keine Maßnahmen Ihrerseits erforderlich. Admin-Gruppe: Benutzer, die Mitglieder dieser Gruppe sind, werden Portaladministratoren sein. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt. Benutzer-Admin-Gruppe: Benutzer, die Mitglieder dieser Gruppe sind, können auf die Benutzerverwaltungsfunktionen im Authentication Web zugreifen. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt. Gatekeepers-Gruppe: Dienstkonten, die Mitglieder dieser Gruppe sind, haben die Berechtigung, Benutzerinformationen zu lesen. Das Konto, das den Gatekeeper ausführt, wird der Gatekeepers-Sicherheitsgruppe hinzugefügt.

Für die Bereitstellung auf O365:

Ein O365-Konto mit globalen Administratorrechten auf Microsoft Entra ID: Sie können ein O365-Konto erwerben oder sich für ein Enterprise Free-Testkonto registrieren unter: https://www.office.com/?cosmicflight=cosmicredirect
Ein gültiger Domainname mit Zugriffs- und Bearbeitungsrechten bei Ihrem Domain-Host. Hinweis: Sie können die Standarddomain *.onmicrosoft.com nicht verwenden.

Bevor Sie beginnen

Aktivieren Sie die moderne Authentifizierung in O365. Dies sollte für Exchange Online und Skype for Business Online (falls verwendet) erfolgen.
- Exchange Online, siehe Moderne Authentifizierung für Outlook in Exchange Online aktivieren oder deaktivieren.
- Skype for Business Online, siehe Skype for Business Online: Aktivieren Sie Ihren Mandanten für die moderne Authentifizierung.
Wenn Ihre O365-Implementierung ADFS oder einen anderen Identitätsanbieter verwendet, müssen Sie die Domäne, die Sie mit Specops Authentication föderieren möchten, deföderieren.

Installation

Erstellen Sie ein Kundenkonto

Um ein Kundenkonto zu erstellen, siehe Specops Authentication.
Auf der Seite Datenzentrum auswählen identifizieren Sie das Datenzentrum, das Sie verwenden möchten, und klicken Sie auf Weiter.

Hinweis

Specops Authentication wird in mehreren Datenzentren gehostet. Derzeit sind zwei Datenzentren verfügbar: EU (Europa) und NA (Nordamerika).

Warnung

Stellen Sie sicher, dass Sie das Datenzentrum auswählen, in dem Ihr Konto erstellt werden soll. Sie können die Datenzentren nicht ändern, nachdem Ihr Konto erstellt wurde.
Geben Sie im Feld Name Ihrer Organisation den Namen Ihrer Organisation ein.
Geben Sie im Feld Domainname Ihrer Organisation einen Domainnamen ein.
Geben Sie im Feld Primärer Kontaktname einen Namen ein. Idealerweise sollte dies der Name der Person sein, die das Konto einrichtet.
Geben Sie im Feld Primäre Kontakt-E-Mail die E-Mail-Adresse ein, die mit dem primären Kontakt verbunden ist.
Klicken Sie auf Weiter.
Auf der Seite Cloud-Kontobenutzer müssen Sie Ihr erstes Cloud-Konto erstellen. Dieses Cloud-Konto ist erforderlich, um den Rest der Installation durchzuführen.
- Geben Sie im Feld E-Mail-Adresse des Kontos die E-Mail-Adresse ein, die Sie mit diesem Cloud-Konto verknüpfen möchten. Ein Suffix wird zur E-Mail-Adresse hinzugefügt, um dieses Cloud-Konto von einem lokalen Konto mit derselben E-Mail-Adresse/UPN zu unterscheiden.
- Das Feld Vollständiger Cloud-Kontoname ist schreibgeschützt. Der vollständige Cloud-Kontoname wird automatisch aus der E-Mail-Adresse/UPN generiert, die Sie im Feld E-Mail-Adresse des Kontos angegeben haben.
Um Ihr Mobiltelefon mit Ihrem Cloud-Konto zu registrieren, geben Sie Ihre Mobiltelefonnummer ein. Wenn Sie den Code auf Ihrem Mobiltelefon erhalten, geben Sie ihn auf dem Bildschirm ein, um sich zu authentifizieren.
Geben Sie auf der Seite Cloud-Kontopasswort das Passwort ein, das Sie für dieses Cloud-Konto verwenden möchten, und bestätigen Sie es, und klicken Sie auf OK. Dies ist das Passwort, mit dem Sie sich zukünftig bei Ihrem Cloud-Konto anmelden.

Hinweis

Die Richtlinie für dieses Passwort kann nicht geändert werden.
Sie werden im Admin-Bereich von Specops Specops Authentication Web angemeldet. Hier können Sie einen neuen Gatekeeper erstellen. Ein Gatekeeper ist erforderlich, um sich mit Active Directory-Konten anzumelden.
Klicken Sie auf die Schaltfläche Neuen Gatekeeper erstellen. Auf der Download-Seite sehen Sie das selbstextrahierende Installationspaket und den Aktivierungscode. Das Paket enthält die Installationsdateien für den Gatekeeper und Ihre Konfigurationsinformationen.
Klicken Sie auf Herunterladen neben Standard selbstextrahierendes Installationspaket.
- Stellen Sie sicher, dass Sie einen Server bereit haben, um das Paket zu installieren.
- Notieren Sie sich den auf der Seite angezeigten Aktivierungscode, da Sie während der Installation danach gefragt werden.
Kopieren und führen Sie die Installationsdatei auf Ihrem Server aus.

Installieren Sie die Verwaltungstools

Die Verwaltungstools werden verwendet, um die Serverkomponente zu installieren und zu konfigurieren, die auch als Gatekeeper bekannt ist. Der Installationsprozess sollte auf demselben Server durchgeführt werden, der für den Betrieb des Gatekeepers verwendet wird.

Klicken Sie im Specops Authentication Setup-Launcher auf Admin-Tools installieren.
Sobald die Admin-Tools installiert sind, klicken Sie auf Admin-Tools starten.

Installieren Sie den Gatekeeper

Klicken Sie auf Gatekeeper installieren.
Sie werden aufgefordert, nur fortzufahren, wenn Sie den Aktivierungscode von der Gatekeeper-Download-Seite auf der Specops Authentication-Webseite haben. Klicken Sie auf Weiter.
Wenn Sie keine Berechtigungen haben, um Specops Authentication auf Domänenebene zu installieren, wird Ihnen die Option angeboten, den Gatekeeper für eine Organisationseinheit zu konfigurieren, in der Sie Administrator sind. Begrenzen Sie die Delegationswurzel und den Speicherort der Einstellungsobjekte und klicken Sie auf Weiter.
Wählen Sie den Active Directory-Bereich aus, in dem Berechtigungen erstellt werden sollen, und klicken Sie auf Hinzufügen. Mehrere Standorte können für mehrere Verwaltungsbereiche ausgewählt werden. Der Active Directory-Bereich bestimmt, welche Benutzer den Specops Authentication-Dienst nutzen können. Wenn Sie nicht möchten, dass Administratoren und Manager innerhalb des Verwaltungsbereichs sind, aber dennoch das System verwalten oder Benutzer authentifizieren möchten, klicken Sie auf Admins und Manager dürfen außerhalb des ausgewählten Bereichs sein.
Klicken Sie auf Weiter.
Der Gatekeeper wird als Windows-Dienst ausgeführt. Wählen Sie den Kontokontext aus, unter dem der Gatekeeper-Dienst ausgeführt werden soll.
- Wenn Benutzerdefiniertes Domänenkonto ausgewählt ist, geben Sie den Kontonamen und das Passwort des Benutzerkontos ein, unter dem der Gatekeeper-Dienst ausgeführt wird.
Klicken Sie auf Weiter.
Wenn Ihre Organisation einen Forward-Proxy-Server verwendet, um den Internetverkehr extern zu leiten, werden Sie aufgefordert, den Proxy-Server zu konfigurieren, damit der Gatekeeper das Internet erreichen kann. Andernfalls überspringt der Installationsassistent diesen Schritt.
Die folgenden Sicherheitsgruppen werden erstellt. Sie können entweder die Standardgruppennamen beibehalten oder einen neuen Namen eingeben:
- Admin-Gruppe: Benutzer, die Mitglieder dieser Gruppe sind, werden Portaladministratoren sein. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
- Benutzer-Admin-Gruppe: Benutzer, die Mitglieder dieser Gruppe sind, können auf die Benutzerverwaltungsfunktionen auf der Specops Authentication-Webseite zugreifen. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
- Gatekeepers-Gruppe: Dienstkonten, die Mitglieder dieser Gruppe sind, haben die Berechtigung, Benutzerinformationen zu lesen. Das Konto, das den Gatekeeper ausführt, wird der Gatekeepers-Sicherheitsgruppe hinzugefügt.
Klicken Sie auf Weiter.
Geben Sie den Aktivierungscode von der Gatekeeper-Download-Seite auf der Specops Authentication-Webseite ein und klicken Sie auf Aktivieren.
Sie erhalten eine Nachricht, dass der Gatekeeper erfolgreich konfiguriert und aktiviert wurde.
Klicken Sie auf Fertigstellen.
Überprüfen Sie, ob der Cloud-Verbindungsstatus Verbunden anzeigt.

Domain-Verifizierung

Um E-Mail-Benachrichtigungen zu aktivieren, müssen Sie alle mit diesem Konto verbundenen Domains verifizieren. Lesen Sie mehr über die Domain-Verifizierung.

Nach der Installation

Führen Sie die folgenden Konfigurationen durch, nachdem Sie Specops Authentication installiert haben.

Erstellen Sie ein Specops Authentication GPO:
1. Markieren Sie im Abschnitt Ausgewählte GPOs des Gatekeepers die GPOs, die Sie mit Specops Authentication verwenden möchten. Betroffene Benutzer können ihre Authentifizierungs-, Bereitstellungs- und Lizenzierungseinstellungen von der Specops Authentication-Webseite aus konfigurieren.
2. Klicken Sie auf GPOs markieren, wählen Sie die Gruppenrichtlinie aus und klicken Sie auf OK. Alternativ, wenn Sie möchten, dass Specops Authentication auf den während der Gatekeeper-Installation ausgewählten Bereich angewendet wird, überspringen Sie diesen Schritt und wählen Sie Cloud im letzten Schritt, wenn Sie Specops Authentication mit O365 konfigurieren.
Aktivieren Sie Windows Integrierte Authentifizierung.