Skriptgesteuerte Installation

Dieser Inhalt wird an vielen Stellen in der Dokumentation wiederverwendet. Bitte berücksichtigen Sie dies bei der Änderung des Inhalts.

  • uReset 8
  • Secure Service Desk
  • Schlüsselwiederherstellung
  • O365-Authentifizierung

Um mit Specops Authentication für Key Recovery zu beginnen, müssen Sie die Gatekeeper-Komponente in Ihrem Active Directory installieren. Wir empfehlen, das selbstextrahierende Installationspaket herunterzuladen und dann den Installationsassistenten auszuführen.

Wenn Ihr Unternehmen Windows Server Core (ohne grafische Benutzeroberfläche) verwendet, können Sie alternativ das skriptbasierte Installationsverfahren von PowerShell verwenden. In diesem Leitfaden wird das skriptbasierte Installationsverfahren erläutert.

Anforderungen

Die Umgebung Ihres Unternehmens muss folgende Anforderungen erfüllen:

  • Gatekeeper-Server-Computer:
    • Verbunden mit Ihrer Active Directory-Domain
    • Windows Server 2012 R2 oder neuer (Core oder mit Desktop-Erfahrung)
    • .NET Framework 4.7 oder höher
  • Administrative Privilegien: Sowohl für Active Directory als auch für den Gatekeeper-Server-Computer. Es wird empfohlen, die Installation als Domain-Administrator durchzuführen.
  • Konto-Optionen: Es gibt zwei Optionen für das Konto, unter dem der Gatekeeper-Windows-Dienst ausgeführt wird Bereiten Sie sich darauf vor, eine der folgenden zu verwenden:
    • Managed Service Account (empfohlen): Die Verwendung eines "verwalteten Dienstkontos" für den Gatekeeper ist einfach, so dass Sie als Installationsadministrator keine zusätzliche Maßnahmen ergreifen müssen. Das Skript erstellt ein verwaltetes Dienstkonto in Ihrem Active Directory. Wenn der sAMAccountName des Gatekeeper-Servers in Active Directory "SRV17" lautet, lautet der Name des verwalteten Dienstkontos "SGkSRV17$".
    • Domain-Konto: Wenn Sie ein Domain-Konto verwenden möchten, muss dieses vor der Installation erstellt werden. Sie müssen den sAMAccountName und das Kennwort des Kontos bereithalten.
  • Sicherheitsgruppen: Das Installationsskript erstellt Sicherheitsgruppen, die von Specops Authentication verwendet werden. Dazu müssen Sie nichts tun.
    • Verwaltungsgruppe: Die Benutzer in dieser Gruppe sind Portaladministratoren. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
    • Benutzerverwaltungsgruppe: Die Mitglieder dieser Gruppe können auf die Benutzerverwaltungsfunktionen im Authentifizierungsweb zugreifen. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
    • Gatekeeper-Gruppe: Die Dienstkonten in dieser Gruppe müssen die Berechtigung haben, Benutzerinformationen zu lesen. Das Konto, unter dem der Gatekeeper läuft, wird der Sicherheitsgruppe Gatekeeper hinzugefügt.

Erstellen Sie Ihr Kundenkonto

Um mit Specops Authentication für Key Recovery zu beginnen, benötigen Sie ein Kundenkonto. Ein solches Kundenkonto erstellen Sie sich unter:

https://login.specopssoft.com/Authentication/Account/Signup
  1. Geben Sie dazu folgende Informationen ein:
    • Der Name Ihrer Organisation
    • Der Domain-Name Ihrer Organisation
    • Name des Hauptansprechpartners, das ist der Name der Person, die das Konto einrichtet
    • E-Mail des Hauptkontakts: Geben Sie die E-Mail-Adresse des Hauptkontakts ein
  2. Klicken Sie auf Speichern.

Gatekeeper-Einstellung herunterladen

Verwenden Sie auf der Gatekeeper-Download-Seite die Option Skriptbasierte Installation (.zip) herunterladen. Denken Sie daran, den Aktivierungscode zu notieren oder zu speichern. Der Code ist nur für 24 Stunden nach Erstellung Ihres Kundenkontos gültig.

  1. Entsperren Sie die heruntergeladene Zip-Datei nach dem Download. Klicken Sie im Windows Explorer mit der rechten Maustaste auf die Datei, wählen Sie Eigenschaften, öffnen Sie die Registerkarte Allgemein und klicken Sie auf Freigeben.
  2. Kopieren/extrahieren Sie die Zip-Datei in den Ordner C:TempGatekeeper des Gatekeeper-Computers oder in einen anderen beliebigen Ordner.
  3. Die skriptbasierte Installation kann über eine PowerShell-Remotesitzung oder über die Hyper-V-Konsole gestartet werden.
    HINWEIS
    Wenn die Installation über eine Fernsitzung erfolgt, die mit dem BefehlEnter-PsSessiongestartet wird, werden Sie wahrscheinlich die Fehlermeldung "Zugriff verweigert" erhalten. Dies kann durch die Verwendung von CredSSP behoben werden:Enter-PsSession -Authentication CredSSPWenn CredSSP auf Ihrem Client und Server nicht aktiviert ist, können Sie es mit folgenden Befehlen aktivieren:
    >

    Im Clienten

    Enable-WSManCredSSP -Role Client -DelegateComputerServer

    wobei Server der komplette qualifizierte Rechnername des Servers ist

    Auf dem Server

    Enable-WSManCredSSP -Role Server

    Zum Installieren starten Sie PowerShell (entweder remote oder von der Konsole aus), führen Sie Install.ps1 mit den von Ihrem Installationstyp abhängenden richtigen Parametern aus. Siehe nachstehende Verwendungsbeispiele:

    • Managed Service Konto: C:\TempGatekeeperInstall.ps1 -ManagedServiceAccount -ActivationCode:'12345678'

      Optionale Parameter

      Parameter: -ScopeDn
      Beispiel: -ScopeDn:’DC=test,DC=acme,DC=org’
      Hinweise: Um die Gatekeeper-Berechtigung auf eine bestimmte Organisationseinheit und deren Untereinheiten in Active Directory zu beschränken, verwenden Sie den Parameter "-ScopeDn". Wenn "-ScopeDn" nicht angegeben wird, können Benutzer aus der gesamten Active Directory-Domain Specops Authentication verwenden.

      Parameter: -DelegationRoot
      Beispiel: -DelegationRoot:’DC=contoso,DC=com’
      Hinweise: Zum Pfad in Active Directory, unter dem Sie Specops Authentication verwalten möchten. Das angegebene Beispiel ist der Standardspeicherort. Wenn keine Angaben gemacht werden, wird der Standardwert verwendet.

      Parameter: -SettingsRoot
      Beispiel: -SettingsRoot:’CN=System,DC=contoso,DC=com’
      Hinweise: Zum Pfad in Active Directory, unter dem Sie die Einstellungen von Specops Authentication speichern möchten. Das angegebene Beispiel ist der Standardspeicherort. Wenn keine Angaben gemacht werden, wird der Standardwert verwendet.
    • Domain-Konto: Das Installationsskript fragt nach dem Kennwort für das angegebene Konto; Halten Sie es also bereit, wenn Sie das Skript ausführen.C:\TempGatekeeperInstall.ps1 -DomainServiceAccount -DomainServiceAccountName:'Gatekeeper' -ActivationCode:'12345678'
      Optionale Parameter
      Parameter: -ScopeDn
      Beispiel: -ScopeDn:’DC=test,DC=acme,DC=org’
      Hinweise: Um die Gatekeeper-Berechtigung auf eine bestimmte Organisationseinheit und deren Untereinheiten in Active Directory zu beschränken, verwenden Sie den Parameter "-ScopeDn". Wenn "-ScopeDn" nicht angegeben wird, können Benutzer aus der gesamten Active Directory-Domain Specops Authentication verwenden.

      Parameter: -DelegationRoot
      Beispiel: -DelegationRoot:’DC=contoso,DC=com’
      Hinweise: Zum Pfad in Active Directory, unter dem Sie Specops Authentication verwalten möchten. Das angegebene Beispiel ist der Standardspeicherort. Wenn keine Angaben gemacht werden, wird der Standardwert verwendet.

      Parameter: -SettingsRoot
      Beispiel: -SettingsRoot:’CN=System,DC=contoso,DC=com’
      Hinweise: Zum Pfad in Active Directory, unter dem Sie die Einstellungen von Specops Authentication speichern möchten. Das angegebene Beispiel ist der Standardspeicherort. Wenn keine Angaben gemacht werden, wird der Standardwert verwendet.
  4. Nach Abschluss des Installationsvorgangs starten Sie Gatekeeper Admin Tool und stellen Sie eine Remote-Verbindung zum Gatekeeper her. Das MSI-Installationsprogramm für das Verwaltungstool steht in der heruntergeladenen ZIP-Datei als MSISpecopssoft.Authentication.Gatekeeper.Admin-x64.msi zur Verfügung.