Skriptgesteuerte Installation

Um mit Specops Authentication für Authentication for O365 zu beginnen, müssen Sie die Gatekeeper-Komponente in Ihrem Active Directory installieren. Die empfohlene Installation besteht darin, das selbstextrahierende Installationspaket herunterzuladen und die Schritte im Installationsassistenten abzuschließen.

Alternativ, wenn Ihre Organisation Windows Server Core (ohne GUI) verwendet, können Sie das auf PowerShell-Skripten basierende Installationsverfahren verwenden. Dieser Leitfaden führt Sie durch das skriptbasierte Installationsverfahren.

Anforderungen

Die Umgebung Ihrer Organisation muss die folgenden Anforderungen erfüllen:

Gatekeeper-Server-Computer:
- Mitglied Ihrer Active Directory-Domäne
- Windows Server 2012 R2 oder neuer (Core oder mit Desktop-Erfahrung)
- .NET Framework 4.7 oder höher
Administrative Berechtigungen: Sowohl für Active Directory als auch für den Gatekeeper-Server-Computer. Es wird empfohlen, die Installation als Domänenadministrator durchzuführen.
Kontenoptionen: Es gibt zwei Optionen für das Konto, unter dem der Gatekeeper-Windows-Dienst „ausgeführt wird“. Bereiten Sie sich darauf vor, eine der folgenden zu verwenden:
- Verwaltetes Dienstkonto (empfohlen): Die Verwendung eines verwalteten Dienstkontos für den Gatekeeper ist einfach, ohne dass zusätzliche Maßnahmen für Sie als Installationsadministrator erforderlich sind. Das Skript erstellt ein verwaltetes Dienstkonto in Ihrem Active Directory. Wenn der sAMAccountName des Gatekeeper-Servers in Active Directory „SRV17“ ist, lautet der Name des verwalteten Dienstkontos „SGkSRV17$“.
- Domänenkonto: Wenn Sie ein Domänenkonto verwenden möchten, muss es vor der Installation erstellt werden. Sie benötigen den sAMAccountName und das Passwort des Kontos.
Sicherheitsgruppen: Das Installationsskript erstellt Sicherheitsgruppen, die von Specops Authentication verwendet werden. Es sind keine Maßnahmen Ihrerseits erforderlich.
- Admin-Gruppe: Benutzer, die Mitglieder dieser Gruppe sind, werden Portaladministratoren sein. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
- Benutzer-Admin-Gruppe: Benutzer, die Mitglieder dieser Gruppe sind, können auf die Benutzerverwaltungsfunktionen im Authentication-Web zugreifen. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
- Gatekeepers-Gruppe: Dienstkonten, die Mitglieder dieser Gruppe sind, haben die Berechtigung, Benutzerinformationen zu lesen. Das Konto, das den Gatekeeper ausführt, wird der Gatekeepers-Sicherheitsgruppe hinzugefügt.

Erstellen Sie Ihr Kundenkonto

Um mit Specops Authentication für Authentication for O365 zu beginnen, benötigen Sie ein Kundenkonto. Sie können Ihr Kundenkonto erstellen unter: https://login.specopssoft.com/Authentication/Account/Signup

Geben Sie die folgenden Informationen ein:
- Name Ihrer Organisation
- Domänenname Ihrer Organisation
- Name des Hauptansprechpartners, geben Sie den Namen der Person ein, die das Konto einrichtet
- E-Mail-Adresse des Hauptansprechpartners, geben Sie die E-Mail-Adresse ein, die mit dem Hauptansprechpartner verbunden ist
Klicken Sie auf Speichern.

Laden Sie die Gatekeeper-Konfiguration herunter

Auf der Gatekeeper-Download-Seite verwenden Sie die Option Skriptbasierte Installation herunterladen (.zip). Denken Sie daran, den Aktivierungscode aufzuschreiben oder zu speichern. Der Code ist nur 24 Stunden nach Erstellung Ihres Kundenkontos gültig.

Entsperren Sie die heruntergeladene Zip-Datei nach dem Download. Klicken Sie im Windows Explorer mit der rechten Maustaste auf die Datei, Eigenschaften, Allgemein-Registerkarte, und klicken Sie auf Entsperren.
Kopieren/entpacken Sie das Zip in den C:\TempGatekeeper-Ordner des Gatekeeper-Computers oder einen anderen Ordner, den Sie auswählen.
Die skriptbasierte Installation kann von einer PowerShell-Remote-Sitzung oder von der Hyper-V-Konsole aus gestartet werden.

Hinweis

Wenn Sie die Installation über eine Remote-Sitzung starten, die mit dem Befehl Enter-PsSession initiiert wurde, ist es wahrscheinlich, dass Sie auf einen „Zugriff verweigert“-Fehler stoßen. Dies kann durch die Verwendung von CredSSP behoben werden: Enter-PsSession -Authentication CredSSP. Wenn CredSSP auf Ihrem Client und Server nicht aktiviert wurde, kann es durch Ausführen der folgenden Befehle aktiviert werden:

Auf dem Client

Enable-WSManCredSSP -Role Client -DelegateComputer server

wobei server den vollqualifizierten Maschinenname des Servers bezeichnet

Auf dem Server

Enable-WSManCredSSP -Role Server

Um die Installation zu starten, starten Sie PowerShell (entweder remote oder von der Konsole aus), führen Sie Install.ps1 mit den entsprechenden Parametern aus, abhängig von Ihrem Installationstyp. Siehe untenstehende Beispielverwendungen:
- Verwaltetes Dienstkonto: C:\TempGatekeeper\Install.ps1 -ManagedServiceAccount -ActivationCode:'12345678'
  
  Optionale Parameter
  
  Parameter: -ScopeDn Beispiel: -ScopeDn:’DC=test,DC=acme,DC=org’ Hinweise: Um die Gatekeeper-Berechtigung auf eine bestimmte Organisationseinheit und deren Kinder in Active Directory zu beschränken, verwenden Sie den Parameter „-ScopeDn“. Wenn „-ScopeDn“ nicht angegeben wird, können Benutzer aus der gesamten Active Directory-Domäne Specops Authentication verwenden.
  
  Parameter: -DelegationRoot Beispiel: -DelegationRoot:’DC=contoso,DC=com’ Hinweise: Der Pfad in Active Directory, unter dem Sie Specops Authentication verwalten möchten. Das angegebene Beispiel ist der Standardstandort. Wenn nicht angegeben, wird der Standard verwendet.
  
  Parameter: -SettingsRoot Beispiel: -SettingsRoot:’CN=System,DC=contoso,DC=com’ Hinweise: Der Pfad in Active Directory, unter dem Sie die Specops Authentication-Einstellungen speichern möchten. Das angegebene Beispiel ist der Standardstandort. Wenn nicht angegeben, wird der Standard verwendet.
- Domänenkonto: Das Installationsskript wird nach dem Passwort des angegebenen Kontos fragen, daher halten Sie es bereit, wenn Sie das Skript ausführen. C:\TempGatekeeper\Install.ps1 -DomainServiceAccount -DomainServiceAccountName:'Gatekeeper' -ActivationCode:'12345678'
  
  Optionale Parameter
  
  Parameter: -ScopeDn Beispiel: -ScopeDn:’DC=test,DC=acme,DC=org’ Hinweise: Um die Gatekeeper-Berechtigung auf eine bestimmte Organisationseinheit und deren Kinder in Active Directory zu beschränken, verwenden Sie den Parameter „-ScopeDn“. Wenn „-ScopeDn“ nicht angegeben wird, können Benutzer aus der gesamten Active Directory-Domäne Specops Authentication verwenden.
  
  Parameter: -DelegationRoot Beispiel: -DelegationRoot:’DC=contoso,DC=com’ Hinweise: Der Pfad in Active Directory, unter dem Sie Specops Authentication verwalten möchten. Das angegebene Beispiel ist der Standardstandort. Wenn nicht angegeben, wird der Standard verwendet.
  
  Parameter: -SettingsRoot Beispiel: -SettingsRoot:’CN=System,DC=contoso,DC=com’ Hinweise: Der Pfad in Active Directory, unter dem Sie die Specops Authentication-Einstellungen speichern möchten. Das angegebene Beispiel ist der Standardstandort. Wenn nicht angegeben, wird der Standard verwendet.
Sobald das Installationsverfahren bereit ist, starten Sie das Gatekeeper Admin Tool und verbinden Sie sich remote mit dem Gatekeeper. Die Admin-Tool-Installations-MSI ist in der heruntergeladenen Zip-Datei verfügbar, unter MSISpecopssoft.Authentication.Gatekeeper.Admin-x64.msi.