Verwaltung
Das Gruppenrichtlinien-Snap-In, das mit den Verwaltungstools installiert wird, ermöglicht es Ihnen, Specops Password Notification-Einstellungen in Gruppenrichtlinienobjekten zu erstellen und zu verwalten. Die Einstellungen werden als Teil des GPO gespeichert. Die Verwaltung der Specops Password Notification-Einstellungen in der Gruppenrichtlinie ermöglicht es Ihnen, zu steuern, wie und wo die Richtlinien angewendet werden.
Erstellen einer Konfiguration
- Erstellen Sie in der Gruppenrichtlinien-Verwaltungskonsole (GPMC) ein neues GPO oder wählen Sie ein vorhandenes aus, das die Benutzer enthält, die Sie benachrichtigen möchten.
- Öffnen Sie den Gruppenrichtlinien-Editor, indem Sie mit der rechten Maustaste auf das GPO klicken und Bearbeiten auswählen.
- Erweitern Sie im Gruppenrichtlinien-Editor die Benutzerkonfiguration, Richtlinien, Windows-Einstellungen und wählen Sie Specops Password Notification. Klicken Sie auf Konfiguration erstellen.
Wenn zuvor eine Konfiguration erstellt wurde, sehen Sie eine Übersicht der Konfiguration, wenn Sie auf die Specops Password Notification-Benutzerkonfiguration klicken. Um eine vorhandene Konfiguration zu bearbeiten, klicken Sie auf die Schaltfläche Konfiguration bearbeiten. Um eine Konfiguration zu löschen, klicken Sie auf die Schaltfläche Konfiguration entfernen. Beachten Sie, dass das Entfernen einer Konfiguration alle mit dieser Konfiguration verbundenen Vorlagen löscht.
Erstellen von E-Mail-Benachrichtigungsvorlagen
E-Mail-Benachrichtigungsvorlagen sind konfigurierbare E-Mail-Benachrichtigungen, die an Endbenutzer gesendet werden, um sie über ein bevorstehendes Passwortablaufdatum zu informieren. Diese können an einem bestimmten Tag (z. B. 3 Tage vor dem Passwortablauf) oder innerhalb eines bestimmten Intervalls (z. B. 10 bis 1 Tag(e) vor dem Passwortablauf) gesendet werden. Sie können so viele E-Mail-Vorlagen erstellen, wie Sie möchten. Beachten Sie, dass die Uhrzeit, zu der die Benachrichtigungen gesendet werden, von der Konfiguration der PollingTime-Registrierungseinstellung abhängt (die Standardzeit ist 00:00).
- Erstellen oder bearbeiten Sie im betreffenden GPO eine Konfiguration (siehe oben, wie Sie eine Konfiguration erstellen oder bearbeiten).
- Klicken Sie im linken Navigationsbereich auf E-Mail-Benachrichtigungsvorlagen.
- Klicken Sie auf die Schaltfläche Neu, um eine neue Vorlage zu erstellen.
- Füllen Sie alle Felder in der Vorlage aus:
- Tage: legt die Anzahl der Tage vor dem Passwortablauf fest. Dies kann ein bestimmter Tag (z. B. 3) oder ein Intervall (z. B. 20-10) sein. Beachten Sie, dass Sie auch mehrere Tage und Intervalle kombinieren können, solange Sie sie durch Kommas trennen (z. B. 10-5, 1 für das Intervall 10 bis 5 Tage vor dem Ablauf und 1 Tag vor dem Ablauf). Wenn Sie zwei verschiedene Benachrichtigungen senden möchten (mit unterschiedlichen Texten), müssen Sie zwei Vorlagen erstellen.
- Absenderadresse: legt die Adresse fest, von der die E-Mail gesendet wird. Beachten Sie, dass die tatsächliche SMTP-Konfiguration für die E-Mail im Menü SMTP-Konfiguration festgelegt wird (siehe Abschnitt unten).
- Anzeigename des Absenders: legt den Absendernamen fest, der in der E-Mail angezeigt wird.
- An: legt die E-Mail-Adresse des Empfängers fest. Dies sollte normalerweise auf den Platzhalter %mail% gesetzt werden, um ihn an den betreffenden Benutzer zu senden.
- CC: legt die E-Mail-Adresse fest, an die eine Kopie gesendet werden kann.
- E-Mail-Priorität: legt die Priorität der E-Mail-Benachrichtigung fest. Kann auf Hoch, Normal oder Niedrig gesetzt werden.
- Betreff: die Betreffzeile der E-Mail.
- Text: der Textinhalt der E-Mail.
Kopieren einer Vorlage
Vorlagen können kopiert werden, indem eine vorhandene Vorlage ausgewählt und auf die Schaltfläche Neue Kopie geklickt wird.
Hinweis
Kopien von Vorlagen müssen gespeichert werden, indem Sie auf OK klicken, nachdem Sie alle Änderungen vorgenommen haben. Ein Klick auf Abbrechen führt dazu, dass die Kopie gelöscht wird.
Löschen von Vorlagen
Vorlagen können gelöscht werden, indem Sie die Vorlage auswählen, die Sie löschen möchten, und auf die Schaltfläche Löschen klicken.
Platzhaltertext
In den meisten Vorlagenfeldern kann Platzhaltertext eingegeben werden, bei dem es sich um Variablen handelt, die durch relevante Werte ersetzt werden, die für den Endbenutzer spezifisch sind, an den die E-Mail gesendet wird. Der Text „Ihr Passwort läuft in %TotalDaysLeft% Tagen ab“ für eine Vorlage, die auf ein Intervall von 20-10 Tagen eingestellt ist (im oben genannten Tage-Feld), wird an alle betroffenen Benutzer gesendet, deren Passwort in 20 bis 10 Tagen abläuft, und wird in „Ihr Passwort läuft in 12 Tagen ab“ umgewandelt für einen Benutzer, dessen Passwort in 12 Tagen abläuft, während es „Ihr Passwort läuft in 19 Tagen ab“ für Benutzer sagt, deren Passwörter in 19 Tagen ablaufen.
Um Platzhaltertexte einzufügen, klicken Sie mit der rechten Maustaste in das Feld, in das Sie den Platzhalter einfügen möchten, und wählen Sie aus der angezeigten Liste aus.
Die folgenden Platzhalter sind verfügbar:
- %mail%: E-Mail-Adresse des Endbenutzers.
- %TotalHoursLeft: Anzahl der Stunden bis zum Passwortablauf.
- %TotalDaysLeft%: Anzahl der Tage bis zum Passwortablauf.
- %HoursLeft%: Anzahl der Stunden am letzten Tag vor dem Ablauf. Dies kann in Verbindung mit %TotalDaysLeft% verwendet werden, um eine genauere Ablaufzeit anzugeben. Z.B. „Ihr Passwort läuft in %TotalDaysLeft% Tagen und %HoursLeft% Stunden ab.“
- %PasswordExpirationTime%: das Ablaufdatum und die Uhrzeit, die in der im Datumsformat-Konfiguration festgelegten Zeitzone angezeigt werden; das Format wird durch die Region für das Datumsformat bestimmt.
- %PasswordExpirationTimeUtc%: das Ablaufdatum und die Uhrzeit, die in UTC-Zeit angezeigt werden. Beachten Sie, dass dieser Platzhalter ein veralteter Platzhalter ist und in zukünftigen Versionen entfernt wird; er wird auch nicht im Rechtsklick-Menü angezeigt.
Konfigurieren der SMTP-Einstellungen
SMTP-Einstellungen müssen konfiguriert werden, bevor die Konfiguration gespeichert werden kann.
- Erstellen oder bearbeiten Sie im betreffenden GPO eine Konfiguration (siehe oben, wie Sie eine Konfiguration erstellen oder bearbeiten).
- Klicken Sie im linken Navigationsbereich auf SMTP-Konfiguration.
- Füllen Sie alle Felder in der Konfiguration aus:
- SMTP-Servername: Name des SMTP-Servers, der zum Senden der Benachrichtigungs-E-Mails verwendet wird.
- SMTP-Portnummer: Port, der für die SMTP-Kommunikation verwendet wird (Standard ist Port 25).
- Authentifizierungsmethode: legt fest, wie das Benutzerkonto beim Senden von E-Mails per SMTP authentifiziert wird.
- Als Dienstkonto (Standard): verwendet die Anmeldeinformationen des Kontos, das den Dienst ausführt.
- Benutzerdefinierte Anmeldeinformationen: verwendet den Benutzernamen und das Passwort in den darunter liegenden Feldern
- Anonym: wie das Dienstkonto, aber die Adresse wird nicht mit dem Empfänger geteilt.
- Benutzername und Passwort: werden verwendet, wenn oben Benutzerdefinierte Anmeldeinformationen ausgewählt ist.
Hinweis
das gewählte Konto muss die richtigen Berechtigungen haben, um E-Mails über SMTP zu senden.
Konfigurieren von Datum und Uhrzeit
Das Datumsformat und die Uhrzeiteinstellungen bestimmen, wie der Platzhalter %PasswordExpirationTime% umgewandelt wird.
- Erstellen oder bearbeiten Sie im betreffenden GPO eine Konfiguration (siehe oben, wie Sie eine Konfiguration erstellen oder bearbeiten).
- Klicken Sie im linken Navigationsbereich auf Datumsformat.
- Füllen Sie alle Felder in der Konfiguration aus:
- Region für das Datumsformat: bestimmt die Formatierung des Datums für den Platzhalter %PasswordExpirationTime%.
- Zeitzone: legt die Zeitzone für den Platzhalter %PasswordExpirationTime% fest.
Hinweis
Stellen Sie sicher, dass Sie eine Region und Zeitzone auswählen, die den Benutzern entspricht, die vom GPO betroffen sind. Wenn Ihre Benutzer in verschiedenen Regionen/Zeitzonen ansässig sind, möchten Sie möglicherweise mehrere GPOs für verschiedene Benutzergruppen mit den entsprechenden Einstellungen erstellen.
Anwenden von Richtlinieneinstellungen
Specops Password Notification liest das maximale Passwortalter zu einem Zeitpunkt, der durch die PollingTime-Registrierungseinstellung bestimmt wird. Dies ist auch der Zeitpunkt, zu dem Benachrichtigungen an Benutzer gesendet werden, die die Kriterien für die Benachrichtigung erfüllen. Die Standardzeit ist 00:00.
Die Passwort-Richtlinie gilt für alle Benutzerkonten an Orten, an denen Ihr GPO verknüpft ist.
Wenn mehr als ein GPO auf derselben Ebene verknüpft ist, bestimmt die Verknüpfungsreihenfolge der GPOs die Reihenfolge, in der die GPOs verarbeitet werden. Wenn widersprüchliche Einstellungen aus mehreren GPOs auf einen Benutzer angewendet werden, löst die Gruppenrichtlinie den Konflikt. Gruppenrichtlinienobjekte werden in der folgenden Reihenfolge angewendet; Das GPO, das dem Benutzerobjekt in AD am nächsten ist, hat die höchste Priorität:
- Lokale Gruppenrichtlinienobjekte
- Standortverknüpfte Gruppenrichtlinienobjekte
- Domänenverknüpfte Gruppenrichtlinienobjekte
- OU-verknüpfte Gruppenrichtlinienobjekte
Wenn die obige Reihenfolge es Ihnen nicht ermöglicht, Ihre bevorzugten Einstellungen anzuwenden, können Sie Sicherheitsfilter verwenden, um auf einer Berechtigungsebene zu steuern, welche Benutzer und Computer vom GPO betroffen sind. Sicherheitsfilter ermöglichen es Ihnen, verschiedene Richtlinieneinstellungen auf Objekte anzuwenden, die sich auf derselben Ebene im Active Directory befinden.
Specops Password Notification mit Specops Password Policy
Hinweis
Wenn Sie ein Specops Password Policy-Kunde sind, haben Sie möglicherweise bereits E-Mails zum Passwortablauf in Ihren Passwortablaufeinstellungen konfiguriert. Bitte überprüfen Sie Ihre Specops Password Policy-Benachrichtigungseinstellungen, bevor Sie Specops Password Notification konfigurieren, um mögliche Konflikte zu vermeiden.
Für Benutzer, die Specops Password Notification zusammen mit Specops Password Policy verwenden, beachten Sie, dass Password Notification die auf Länge basierende Passwortalterungsfunktion in Password Policy berücksichtigt. Die auf Länge basierende Alterung ermutigt Benutzer, längere und sicherere Passwörter zu erstellen, und belohnt sie dafür, indem sie ihnen zusätzliche Zeit gibt, bevor ihre Passwörter ablaufen.
Hinweis
damit Specops Password Notification benutzerdefinierte Ablauf-Einstellungen lesen kann, muss das Dienstkonto, das für den Betrieb des Specops Password Notification-Servers verwendet wird, Teil der Sicherheitsgruppe sein, die für benutzerdefinierte Abläufe in Specops Password Policy konfiguriert ist. Um die richtige Sicherheitsgruppe zu finden, greifen Sie auf die Specops Password Policy-Domänenverwaltung zu und gehen Sie zu den Domäneneinstellungen. Der Abschnitt Sicherheitseinstellungen zeigt die Informationen für die richtige Sicherheitsgruppe an.
Lesen Sie mehr über auf Länge basierende Passwortalterung.
Die in der Specops Password Notification-Konfiguration festgelegte Anzahl von Tagen bezieht sich auf das Passwortablaufdatum, das durch die Länge des Benutzerpassworts bestimmt wird.