Installation

Folgender Inhalt ist für IT-Administratoren bestimmt und dient zur Installation und Bewertung von Specops Authentication. Weitere Informationen über die im Folgenden verwendeten Komponenten und Konzepte finden Sie in der Specops Authentication-Übersicht.

Wir empfehlen, das selbstextrahierende Installationspaket herunterzuladen und dann den Installationsassistenten auszuführen.

Wenn Ihr Unternehmen Windows Server Core (ohne grafische Benutzeroberfläche) verwendet, können Sie alternativ das skriptbasierte Installationsverfahren von PowerShell verwenden.

Anforderungen

Die Umgebung Ihres Unternehmens muss folgende Anforderungen erfüllen:

Anforderungen
Komponente Anforderung
Gatekeeper-Server-Computer
  • Vollständig gepatchtes Betriebssystem erforderlich
  • Verbunden mit Ihrer Active Directory-Domain
  • Windows Server 2016/2019/2022 (Core- oder Desktop-Erlebnis)
    HINWEIS
    Wenn auf dem primären Domain-Controller eine Windows Server-Version vor 2008 R2 ausgeführt wird, kann es bis zu einer Stunde dauern, bis die Funktion Admins die Registrierung erlauben wirksam wird.
  • .Net Framework 4.7.2 or later
Gatekeeper-Verwaltungstool
  • Verbunden mit Ihrer Active Directory-Domain
  • Windows 10/11 oder Windows Server 2016/2019/2022
  • .Net Framework 4.7.2 or later
Specops Authentifizierungs-Client
  • Windows 10 x64, Windows 11 x64 or Windows Server 2016/2019/2022
  • .Net Framework 4.7.2 or later
  • For password resets with uReset 8 and Specops Password Reset, the Specops Cefsharp runtime MSI should be installed.
Administratorprivilegien: Sowohl für Active Directory als auch für den Gatekeeper-Server-Computer. Es wird empfohlen, die Installation als Domain-Administrator durchzuführen.
Konto-Optionen Es gibt drei Optionen für das Konto, unter dem der Gatekeeper-Windows-Dienst ausgeführt wird. Bereiten Sie sich darauf vor, eine der folgenden zu verwenden:
  • Managed Service Account (empfohlen): Die Verwendung eines "verwalteten Dienstkontos" für den Gatekeeper ist einfach, so dass Sie als Installationsadministrator keine zusätzliche Maßnahmen ergreifen müssen. Das Skript erstellt ein verwaltetes Dienstkonto in Ihrem Active Directory. Wenn der sAMAccountName des Gatekeeper-Servers in Active Directory "SRV17" lautet, lautet der Name des verwalteten Dienstkontos "SGkSRV17$".
  • Domain-Konto: Wenn Sie ein Domain-Konto verwenden möchten, muss dieses vor der Installation erstellt werden. Sie müssen den sAMAccountName und das Kennwort des Kontos bereithalten.
  • Group Managed Service-Konto: Zunächst muss ein gültiges Dienstkonto erstellt werden, das über den Gatekeeper-Computer genutzt werden kann.
Sicherheitsgruppen Das Installationsskript erstellt Sicherheitsgruppen, die von Specops Authentication verwendet werden. Dazu müssen Sie nichts tun.
  • Admin-Gruppe: Die Benutzer in dieser Gruppe sind Portaladministratoren. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
  • Benutzerverwaltungsgruppe: Die Mitglieder dieser Gruppe können auf die Benutzerverwaltungsfunktionen im Authentifizierungsweb zugreifen. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
  • Gatekeeper-Gruppe: Die Dienstkonten in dieser Gruppe müssen die Berechtigung haben, Benutzerinformationen zu lesen. Das Konto, unter dem der Gatekeeper läuft, wird der Sicherheitsgruppe Gatekeeper hinzugefügt.

Zur Bereitstellung auf O365 brauchen Sie:

  • Ein O365-Konto mit globalen Administratorrechten in Microsoft Entra ID:
    Sie können ein O365-Konto erwerben oder sich für ein kostenloses Enterprise-Testkonto registrieren, unter: https://www.office.com/?cosmicflight=cosmicredirect
  • Einen gültigen Domain-Namen mit Zugriffs- und Bearbeitungsrechten auf Ihrem Domain-Host.
    Hinweis: Sie können nicht die Standard-Domain *.onmicrosoft.com verwenden.

Bevor Sie beginnen:

  1. Aktivieren Sie die moderne Authentifizierung in O365. Dies sollte für Exchange Online und Skype for Business Online (falls verwendet) durchgeführt werden.
    • Für Exchange Online klicken Sie hier.
    • Für Skype for Business Online klicken Sie hier.
  2. Wenn Ihre O365-Implementierung ADFS oder einen anderen Identitätsanbieter verwendet, müssen Sie den Verbund der Domain, die Sie mit Specops Authentication föderieren möchten, aufheben.

Installation

Kundenkonto erstellen

  1. Zum Erstellen eines Kundenkontos klicken Sie hier.
  2. Wählen Sie auf der Seite Rechenzentrum auswählen das gewünschte Rechenzentrum aus und klicken Sie auf Beginnen.
    HINWEIS
    Specops Authentication wird in mehreren Rechenzentren gehostet. Derzeit sind zwei Rechenzentren verfügbar: EU (Europa) und NA (Nordamerika).
    WARNUNG
    Vergewissern Sie sich, dass Sie das korrekte Datenzentrum zum Erstellen Ihres Kontos auswählen. Ist es einmal erstellt, können Sie das Rechenzentrum nicht mehr ändern.
  3. Geben Sie in das Feld Name Ihrer Organisation deren Namen ein.
  4. Geben Sie in das Feld Domain-Name Ihrer Organisation einen Domain-Namen ein.
  5. Geben Sie in das Feld Name des Hauptansprechpartners einen Namen ein. Am besten ist dies der Name der Person, die das Konto einrichtet.
  6. Geben Sie in das Feld E-Mail des Hauptkontakts die mit dem Hauptkontakt verbundene E-Mail-Adresse ein.
  7. Klicken Sie auf Weiter.
  8. Auf der Benutzerseite des Cloud-Kontos müssen Sie Ihr erstes Cloud-Konto erstellen. Dieses Cloud-Konto ist erforderlich, um den Rest der Installation durchführen zu können.
    • Geben Sie in das Feld Konto-E-Mail-Adresse die E-Mail-Adresse ein, die Sie mit diesem Cloud-Konto verknüpfen möchten. Der E-Mail-Adresse wird ein Suffix hinzugefügt, um dieses Cloud-Konto von dem lokalen Konto mit derselben E-Mail-Adresse zu unterscheiden.
    • Das Feld Kompletter Cloud-Kontoname ist schreibgeschützt. Der vollständige Cloud-Kontoname wird automatisch aus der E-Mail-Adresse bzw. dem UPN generiert, die/den Sie im Feld Konto-E-Mail-Adresse angegeben haben.
  9. Um Ihr Mobiltelefon mit Ihrem Cloud-Konto zu registrieren, geben Sie Ihre Mobiltelefonnummer ein. Wenn Sie den entsprechenden Code auf Ihrem Mobiltelefon erhalten, geben Sie ihn zur Authentifizierung auf dem Bildschirm ein.
  10. Geben Sie auf der Seite Cloud-Kontokennwort das Kennwort ein, das Sie für dieses Cloud-Konto verwenden möchten, bestätigen Sie es und klicken Sie auf OK. Mit diesem Kennwort können Sie sich in Zukunft bei Ihrem Cloud-Konto anmelden.
    HINWEIS
    Die Richtlinie für dieses Kennwort kann nicht geändert werden.
  11. Mit der Anmeldung gelangen Sie in den Admin-Bereich von Specops Authentication Web Specops. Hier können Sie nun einen neuen Gatekeeper erstellen. Ein Gatekeeper ist erforderlich, um sich mit Active Directory-Konten anzumelden.
  12. Klicken Sie auf die Schaltfläche Neuen Gatekeeper erstellen. Auf der Download-Seite finden Sie das selbstextrahierende Installationspaket und den Aktivierungscode. Das Paket enthält die Installationsdateien für den Gatekeeper und Ihre Konfigurationsinformationen.
  13. Klicken Sie auf Download neben dem selbstextrahierenden Standard-Installationspaket.
    • Stellen Sie sicher, dass Sie einen Server für die Installation des Pakets bereithalten.
    • Notieren Sie sich den auf der Seite angezeigten Aktivierungscode, da Sie während der Installation aufgefordert werden, ihn einzugeben.
  14. Kopieren Sie die Installationsdatei und führen Sie sie auf Ihrem Server aus.

Installieren der Verwaltungstools

Die Verwaltungstools werden zur Installation und Konfiguration der auch Gatekeeper genannten Serverkomponente verwendet. Der Installationsprozess sollte auf demselben Server durchgeführt werden, auf dem auch der Gatekeeper ausgeführt wird.

  1. Klicken Sie im Specops Authentication-Einrichtungsassistenten (Setup Launcher) auf Verwaltungstools installieren.
  2. Wenn die Verwaltungstools installiert sind, klicken Sie auf Verwaltungstools starten.

Installieren Sie den Gatekeeper

  1. Klicken Sie auf Gatekeeper installieren.
  2. Sie werden aufgefordert, nur dann fortzufahren, wenn Sie den Aktivierungscode von der Gatekeeper-Download-Seite auf der Specops Authentication-Website vorliegen haben. Klicken Sie auf Weiter.
  3. Wenn Sie keine Berechtigung haben, Specops Authentication auf Domain-Ebene zu installieren, wird Ihnen die Option angezeigt, den Gatekeeper für eine Organisationseinheit zu konfigurieren, in der Sie Administrator sind. Schränken Sie den Speicherort des Delegationsstamms und der Einstellungsobjekte ein, und klicken Sie auf Weiter.
  4. Wählen Sie den Active Directory-Geltungsbereich aus, für den die Berechtigungen erstellt werden sollen, und klicken Sie auf Hinzufügen. Sie können mehrere Standorte für mehrere Verwaltungsbereiche auswählen. Der Active Directory-Geltungsbereich bestimmt, welche Benutzer den Specops Authentication-Service nutzen können. Wenn Sie nicht möchten, dass Administratoren und Manager in den Verwaltungsbereich fallen, sie aber dennoch das System verwalten oder Benutzer authentifizieren sollen, klicken Sie auf Admins und Manager außerhalb des ausgewählten Geltungsbereichs zulassen.
  5. Klicken Sie auf Weiter.
  6. Der Gatekeeper wird als Windows-Dienst ausgeführt. Wählen Sie den Kontokontext aus, unter dem der Gatekeeper-Dienst laufen soll.
    • Wenn Custom Domain Account (Benutzerdefiniertes Domain-Konto) ausgewählt ist, geben Sie den Kontonamen und das Kennwort des Benutzerkontos ein, unter dem der Gatekeeper-Dienst ausgeführt werden soll.
  7. Klicken Sie auf Weiter.
  8. Wenn Ihre Organisation einen Forward-Proxy-Server, um den ausgehenden Internetverkehr umzuleiten, werden Sie aufgefordert, diesen so zu konfigurieren, dass der Gatekeeper das Internet erreichen kann. Andernfalls wird dieser Schritt vom Installationsassistenten übersprungen.
  9. Folgende Sicherheitsgruppen werden erstellt. Sie können entweder die Standardgruppennamen beibehalten oder einen neuen Namen eingeben:
    • Verwaltungsgruppe: Die Benutzer in dieser Gruppe sind Portaladministratoren. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
    • Benutzerverwaltungsgruppe: Die Benutzer in dieser Gruppe können auf die Benutzerverwaltungsfunktionen auf Specops Authentication Web zugreifen. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
    • Gatekeeper-Gruppe: Die Dienstkonten in dieser Gruppe müssen die Berechtigung haben, Benutzerinformationen zu lesen. Das Konto, unter dem der Gatekeeper läuft, wird der Sicherheitsgruppe Gatekeeper hinzugefügt.
  10. Klicken Sie auf Weiter.
  11. Geben Sie den Aktivierungscode von der Gatekeeper-Download-Seite auf der-Web-Website Specops Authentication ein und klicken Sie auf Aktivieren.
  12. Sie erhalten eine Meldung, dass der Gatekeeper erfolgreich konfiguriert und aktiviert wurde.
  13. Klicken Sie auf Fertigstellen.
  14. Überprüfen Sie, ob der Status der Cloud-Verbindung nun Verbunden lautet.

Domain-Verifizierung

Um E-Mail-Benachrichtigungen zu aktivieren, müssen Sie alle mit diesem Konto verknüpften Domains verifizieren. Mehr dazu finden Sie unter Domain-Verifizierung.

Nach der Installation

Führen Sie folgende Konfigurationen durch, nachdem Sie Specops Authentication installiert haben.

  1. Erstellen Sie ein Specops Authentication GPO:
    1. Markieren Sie im Abschnitt Ausgewählte GPOs des Gatekeepers mit Specops Authentication die GPOs, die Sie verwenden möchten. Betroffene Benutzer können ihre Authentifizierungs-, Bereitstellungs- und Lizenzeinstellungen über das Internet unter Specops Authentication konfigurieren.
    2. Klicken Sie auf GPOs markieren, wählen Sie die Gruppenrichtlinie aus und klicken Sie auf OK.Wenn Sie möchten, dass die Specops-Authentifizierung auf den während der Gatekeeper-Installation ausgewählten Geltungsbereich angewendet wird, überspringen Sie diesen Schritt und wählen Sie im letzten Schritt Cloud, wenn Sie Specops Authentication mit O365 konfigurieren.
  2. Aktivieren Sie die Integrierte Windows-Authentifizierung.