Domain-Verwaltungstool
Sie können das Domain Administration Tool verwenden, um Konfigurationen zu verwalten, die für Ihre gesamte Domäne gelten. Sobald Sie die Einstellungen geändert haben, werden Ihre Änderungen automatisch gespeichert.
Sie können über das Startmenü auf das Domain Administration Tool zugreifen.
Aktuelle Benutzerinformationen
Unten links im Domain Administration Tool können Sie Informationen über den angemeldeten Benutzer sehen. Es wird der Name des aktuellen Benutzers sowie die Rolle angezeigt, in der der Benutzer arbeitet (Domain Admin oder Specops Password Policy Admin Group).
Rollen und Berechtigungen
Als Domain Admin können Sie alle Aufgaben in Specops Password Policy ausführen. Die Berechtigungen der Specops Password Policy Admin Group sind auf Folgendes beschränkt:
- SPP in der Domäne aktivieren/deaktivieren
- Einige der Domäneneinstellungen bearbeiten:
- SMTP konfigurieren und Test-E-Mails für die SMTP-Konfiguration senden
- Benutzerdefinierte Benutzerattribute konfigurieren
- Einen anderen DC für die Benutzerzählung auswählen
- „Passwort mit umkehrbarer Verschlüsselung speichern“ aktivieren/deaktivieren
- Arbiters verwalten
- Express-Liste herunterladen
- Express-Scan starten
- Sprachdateien aktualisieren
- Lizenz aktualisieren (Erstmaliges Hinzufügen erfordert weiterhin Domain Admin)
- Eine eingeschränkte Ansicht des Sentinel-Status im Password Policy Sentinel-Menü erhalten (Nur wenn Web-API auf einem DC aktiviert ist, um den korrekten Versionsstatus zu erhalten, wird weiterhin Domain Admin benötigt)
Hinweis
Wenn Kunden der Specops Password Policy Admin Group oder einem Endbenutzer Zugriff auf ein GPO gewähren, können sie bestehende Passwort-Richtlinien bearbeiten/speichern und Test-E-Mails aus der Richtlinie senden.
Hinweis
Beim Erstellen der Specops Password Policy Admin kann es bis zu 10 Minuten dauern, bis der Arbiter sie registriert.
Oberes Menü [domain_name]
Das obere Menü, das durch Ihren Domänennamen angezeigt wird, enthält die folgenden Abschnitte:
- Domänen wechseln: zwischen verfügbaren Domänen wechseln.
-
Domänencontroller wechseln: zwischen verfügbaren Domänencontrollern wechseln.
Hinweis
Beachten Sie, dass die Liste der Domänencontroller in der Name-Spalte durch Klicken auf den Spaltenkopf sortiert werden kann.
-
Specops Password Policy deaktivieren und aktivieren: Wird auf Ihre gesamte Domäne angewendet und bestimmt, ob der Sentinel eingehende Passwortänderungen verarbeitet.
- Lizenz: bietet einen Überblick über die relevanten Informationen zur aktuellen Lizenz. Es enthält die folgenden Informationen:
- Kontoname: der Name des Kontos in der Lizenzdatei.
- Verwendete Plätze: Anzahl der derzeit genutzten Plätze.
- Funktionen: in der Lizenz enthaltene Funktionen.
- Letzter periodischer Scan: Datum und Uhrzeit, zu der der letzte periodische Scan durchgeführt wurde.
- Lizenzdatei importieren: ermöglicht Ihnen, neue Lizenzen zu importieren.
Passwort-Richtlinien
Sie können das Menü Passwort-Richtlinien verwenden, um die folgenden Aufgaben auszuführen:
- Eine neue Passwort-Richtlinie erstellen oder eine bestehende Richtlinie mit einem neuen GPO verknüpfen.
- Die Liste aller Gruppenrichtlinienobjekte in Ihrer Domäne anzeigen, die Passwort-Richtlinieneinstellungen enthalten.
- Einen Überblick über die mit jedem aufgelisteten GPO verknüpften Passwort-Richtlinienregeln erhalten.
- Eine bestehende Richtlinie bearbeiten.
- Eine Richtlinie aus einem GPO entfernen.
Erstellen einer neuen Passwort-Richtlinie
Hinweis
Sie können eine neue Richtlinie über das Domain Administration Tool oder über den Gruppenrichtlinienverwaltungs-Editor erstellen (Benutzerkonfiguration, Richtlinien, Windows-Einstellungen erweitern und Specops Password Policy auswählen, dann auf Neue Passwort-Richtlinie erstellen klicken).
- Klicken Sie auf Neue Passwort-Richtlinie erstellen
- Wählen Sie ein bestehendes GPO aus, indem Sie auf dessen Namen in der Liste der Gruppenrichtlinienobjekte klicken, oder klicken Sie auf Neues Gruppenrichtlinienobjekt…, um ein neues GPO zu erstellen, das mit dieser OU und Richtlinie verknüpft wird. Beachten Sie, dass Sie beim Erstellen eines neuen GPO die Möglichkeit haben, es zu benennen und mit einer bestehenden Organisationseinheit zu verknüpfen. Standardmäßig gilt das GPO für alle Benutzer in der Gruppe. Sie können auch filtern, auf welche Benutzer das GPO angewendet wird, indem Sie Sicherheitsgruppen hinzufügen.
- Klicken Sie auf OK.
- Wählen Sie eine Vorlage aus der Liste aus oder wählen Sie Benutzerdefiniert, wenn Sie eine Richtlinie von Grund auf neu erstellen möchten, und klicken Sie dann auf Weiter.
- Konfigurieren Sie die Richtlinie und klicken Sie dann auf OK.
Weitere Informationen zur Richtlinienkonfiguration finden Sie im Abschnitt Richtlinieneinstellungen.
Bearbeiten einer bestehenden Richtlinie
Hinweis
Die Standarddomänenrichtlinie kann nicht bearbeitet werden und betrifft alle Benutzer in der Domäne, es sei denn, sie sind von einer fein abgestimmten Passwort-Richtlinie betroffen.
Hinweis
Sie können eine Richtlinie über das Domain Administration Tool oder über den Gruppenrichtlinienverwaltungs-Editor bearbeiten (Benutzerkonfiguration, Windows-Einstellungen erweitern und Specops Password Policy auswählen, dann auf Neue Passwort-Richtlinie erstellen klicken).
- Wählen Sie das GPO aus, dessen Richtlinie Sie in der Spalte Passwort-Richtlinie bearbeiten möchten.
- Klicken Sie auf Richtlinie bearbeiten
- Bearbeiten Sie die Richtlinie und klicken Sie dann auf OK.
Weitere Informationen zur Richtlinienkonfiguration finden Sie im Abschnitt Richtlinieneinstellungen.
Entfernen einer Richtlinie aus einem GPO
- Wählen Sie das GPO aus, dessen Richtlinie Sie in der Spalte Passwort-Richtlinie entfernen möchten.
- Klicken Sie auf Richtlinie entfernen.
- Klicken Sie im Bestätigungs-Pop-up auf Ja. Die Richtlinie wird aus der Liste entfernt.
Domäneneinstellungen
Sie können das Menü Domäneneinstellungen verwenden, um die folgenden Aufgaben auszuführen:
- Sicherheitsgruppen überprüfen und bearbeiten: Überprüfen Sie die Längenbasierte Passwort-Alterungslesergruppe und erstellen oder überprüfen Sie die Specops Password Policy Admins Group (siehe unten)
-
E-Mail-Systemeinstellungen: Hier können die globalen (SMTP) Einstellungen für alle E-Mail-Benachrichtigungen konfiguriert werden.
Hinweis
Es wird empfohlen, die SMTP-Einstellungen im Domain Administration Tool zu konfigurieren, bevor Änderungen an den E-Mail-Vorlagen im Gruppenrichtlinien-Snap-In vorgenommen werden. Wenn die SMTP-Einstellungen im Domain Administration Tool nicht festgelegt wurden, wird beim Anwenden von Änderungen an den E-Mail-Vorlagen im Gruppenrichtlinien-Snap-In eine Warnung angezeigt, die den Administrator darüber informiert, dass die SMTP-Einstellungen im Domain Administration Tool konfiguriert werden müssen.
Weitere Informationen zu allen Benachrichtigungseinstellungen finden Sie auf der Benachrichtigungsseite.
-
Benutzerdefinierte Benutzerattribute
Wenn E-Mail und Telefonnummer im Active Directory nicht in den Standardfeldern für E-Mail und Mobiltelefon gespeichert sind, können sie hier überschrieben werden.
-
Erweiterte Sicherheitseinstellungen
Vorheriges Passwort mit umkehrbarer Verschlüsselung speichern: Ermöglicht das Speichern des vorherigen Passworts des Benutzers mit umkehrbarer Verschlüsselung im Active Directory.
Umkehrbare Verschlüsselung ist für die folgenden Einstellungen erforderlich:
- Wiederverwendung eines Teils des aktuellen Passworts verbieten
-
Mindestanzahl geänderter Zeichen
Hinweis
Wenn das Kontrollkästchen nicht aktiviert ist, wird das Passwort mit Einwegverschlüsselung gespeichert.
Erstellen der Specops Password Policy Admins Group
- Klicken Sie auf die Schaltfläche Erstellen neben Specops Password Policy Admins Group.
-
Sie können den empfohlenen Namen und den Ort, an dem die Gruppe erstellt wird, akzeptieren oder ändern. Der Ort kann durch Eingabe des Distinguished Name eines Containers geändert werden.
Hinweis
Der Distinguished Name kann auch aus den Eigenschaften des Containers im Active Directory kopiert werden. Beachten Sie, dass der Name und der Ort dieser Sicherheitsgruppe auch nach der Erstellung geändert werden können. Änderungen nach der Erstellung werden im Active Directory vorgenommen.
-
Klicken Sie auf OK.
Passwort-Richtlinien-Sentinels
Der Sentinel-Dienst wird immer als Teil von Specops Password Policy installiert. Er wird als Teil des Specops Password Policy Sentinel MSI installiert und sollte auf allen beschreibbaren Domänencontrollern in der Active Directory-Domäne installiert werden. Er ist verantwortlich für die Benutzerzählung, das Passwortablaufdatum und den vollständigen Schutz vor kompromittierten Passwörtern. Wenn der vollständige Schutz vor kompromittierten Passwörtern verwendet wird, wird der Sentinel-Dienst von allen beschreibbaren Domänencontrollern aus aufgerufen. Andernfalls wird er nur auf dem DC verwendet, der für die Benutzerzählung verwendet wird, was standardmäßig der PDC-Emulator ist.
Warnung
Der Sentinel-Dienst ist eine kritische Komponente von Specops Password Policy. Es wird empfohlen, den Sentinel-Dienst auf allen Domänencontrollern zu überwachen, um sicherzustellen, dass er immer läuft.
Sie können das Menü Passwort-Richtlinien-Sentinel verwenden, um zu überprüfen, ob Sie den Sentinel auf allen beschreibbaren Domänencontrollern installiert haben. Wenn Sie feststellen, dass einem Domänencontroller die Sentinel-Komponente fehlt, können Sie:
- Den Setup-Assistenten erneut ausführen, um ihn zu installieren, oder
- Die Sentinel-Komponente manuell auf dem betroffenen Domänencontroller installieren
Überprüfen des Sentinel-Status
Der Sentinel-Status kann sowohl im Setup-Assistenten als auch im Domain Administration Tool überprüft werden.
Überprüfen des Status im Domain Administration Tool
- Klicken Sie auf Passwort-Richtlinien-Sentinels.
-
Klicken Sie auf den Domänencontroller, den Sie überprüfen möchten.
Hinweis
Die Domänencontroller-Spalte kann durch Klicken auf den Spaltenkopf sortiert werden.
-
In der Tabelle rechts können Sie zwei Status sehen: Allgemeiner Status (ob der Sentinel auf diesem DC installiert und aktuell ist) und Dienststatus (siehe Statusmeldungen unten).
Überprüfen des Status im Setup-Assistenten
- Klicken Sie auf Domänencontroller-Sentinel.
- Klicken Sie mit der rechten Maustaste auf die Spalte Sentinel-Status für den DC, den Sie überprüfen möchten, und wählen Sie Details anzeigen.
- Die Pop-up-Nachricht zeigt zwei Status an: Allgemeiner Status (ob der Sentinel auf diesem DC installiert und aktuell ist) und Dienststatus (siehe Statusmeldungen unten).
Sentinel-Statusmeldungen
- Nicht erreichbar
- Zugriff verweigert
- Unbekannter Fehler
- Nicht installiert
- Alte Version
- Neuere Version installiert
- Neustart erforderlich
- OK
Sentinel-Statussortierung
Um Sentinels, die Ihre Aufmerksamkeit erfordern, in langen Listen von Domänencontrollern in der Tabelle besser identifizierbar zu machen, wird die Liste dynamisch angezeigt. Diejenigen Sentinels, deren Status nicht OK ist, werden oben in der Tabelle angezeigt. Die Tabelle sortiert zuerst nach Sentinel-Status, dann nach Name.
Aktivieren und Deaktivieren der Sentinel-Web-API
Informationen zum Aktivieren oder Deaktivieren der Sentinel-Web-API finden Sie auf der Passwort-Richtlinien-Sentinel-Seite.
Passwort-Richtlinien-Arbiters
Der Specops Password Arbiter wird als Teil von Specops Password Policy verwendet. Er ist verantwortlich für den vollständigen Schutz vor kompromittierten Passwörtern und Benachrichtigungen über die cloudbasierte Specops BPP API. Er kann auch zum Senden von SMTP-E-Mails verwendet werden, wenn er so konfiguriert ist. Wenn Sie eine der Funktionen verwenden, die einen Arbiter erfordern, muss mindestens ein Arbiter installiert sein. Der Arbiter benötigt Internetverbindung zur Specops BPP API. Es wird empfohlen, Arbiters auf Servern zu installieren, die keine Domänencontroller sind. Während ein Arbiter für die gesamte AD-Domäne in vielen Fällen ausreichend ist, ist es möglich, mehrere Arbiters zu installieren (z. B. um ein oder zwei Arbiters pro Standort im Active Directory zu haben), um Rundreisen zu minimieren.
Warnung
Es wird empfohlen, Arbiters regelmäßig zu überwachen, um sicherzustellen, dass sie immer laufen.
Die Tabelle in diesem Abschnitt listet alle installierten Arbiters auf und bietet Informationen zu ihrem Status. Die folgenden Informationen sind für alle Arbiters verfügbar:
- Servername: der Name des Servers, auf dem der Arbiter installiert ist.
- Standorte: mit diesem Arbiter verbundene Standorte.
- Online: zeigt an, ob der Arbiter erreichbar ist.
- Version: Versionsnummer des Arbiters.
- API-Schlüssel: Indikator, der zeigt, ob ein API-Schlüssel mit diesem Arbiter verknüpft ist.
- Aktionen: Schaltfläche für zusätzliche Aktionen, die am Arbiter durchgeführt werden.
Aktionen
Die Schaltfläche Aktionen (...), bietet Zugriff auf eine Reihe von Operationen, die an jedem Arbiter durchgeführt werden können.
Importieren eines API-Schlüssels
Hinweis
API-Schlüssel werden vom Produktsupport bereitgestellt.
- Klicken Sie auf die Schaltfläche Aktionen für den Arbiter.
- Wählen Sie API-Schlüssel importieren aus dem Dropdown-Menü.
-
Kopieren Sie den erhaltenen API-Schlüssel in Ihre Zwischenablage
Hinweis
Stellen Sie sicher, dass sowohl das Anfangstag (--- BEGIN API KEY ---) als auch das Endtag (--- END API KEY ---) enthalten sind
-
Fügen Sie den vollständigen API-Schlüssel im Fenster API-Schlüssel hinzufügen ein.
Hinweis
Wenn der API-Schlüssel in die Zwischenablage kopiert wurde, bevor das Fenster geöffnet wurde, wird die Anwendung den Schlüssel automatisch in das Fenster einfügen.
-
Klicken Sie auf OK.
Anzeigen von Arbiter-Cloud-Informationen
Zeigt die mit dem Arbiter verknüpfte Cloud-URL an.
- Klicken Sie auf die Schaltfläche Aktionen für den Arbiter.
- Wählen Sie Cloud-Informationen anzeigen aus dem Dropdown-Menü.
Testen der Cloud-Verbindung des Arbiters
Testet die Verbindung des Arbiters zur Breach Protection API.
- Klicken Sie auf die Schaltfläche Aktionen für den Arbiter.
- Wählen Sie Cloud-Verbindung testen aus dem Dropdown-Menü.
Konfigurieren von Standorten
Active Directory-Standorte werden häufig verwendet, um Organisationen zu verwalten, die über geografische Standorte verteilt sind, aber unter die gleiche Domäne fallen. Es ist eine Lösung, um ein Active Directory-Netzwerk geografisch zu verwalten, ohne die logische Struktur der Umgebung zu ändern. Standorte sind physische Gruppierungen von gut verbundenen IP-Subnetzen, die verwendet werden, um Informationen zwischen Domänencontrollern zu replizieren.
Um besser zu kontrollieren, welcher Arbiter von jedem (geografischen) Standort/Standort aus aufgerufen wird, können Sie Standorte in Ihrer Struktur mit bestimmten Domänencontrollern verknüpfen. Arbiters können für einen oder mehrere Standorte in Ihrer Struktur konfiguriert werden. Dies bedeutet, dass die Domänencontroller im Standort sich mit diesen Arbiters im gleichen Standort verbinden.
- Klicken Sie auf die Schaltfläche Aktionen für den Arbiter.
- Wählen Sie Standorte konfigurieren aus dem Dropdown-Menü.
-
Wählen Sie das Kontrollkästchen für die Standorte aus, die Sie als bevorzugt für diesen Arbiter festlegen möchten.
Hinweis
Der Arbiter im Arbiter auswählen ist mit dem Arbiter vorausgewählt, dessen Aktionsschaltfläche Sie geklickt haben. Sie können auch einen anderen Arbiter im Dropdown-Menü auswählen.
-
Klicken Sie auf Speichern
Hinweis
- Wenn keine Standorte als bevorzugt konfiguriert sind, werden die Arbiters in einer Schleifen-Round-Robin-Manier aufgerufen.
- Wenn mehrere Arbiters für denselben Standort konfiguriert sind, werden diese Arbiters (und nicht Arbiters, die für andere Standorte konfiguriert sind) in einer Schleifen-Round-Robin-Manier für diesen bestimmten Standort aufgerufen.
Abmelden eines Arbiters
- Klicken Sie auf die Schaltfläche Aktionen für den Arbiter.
- Wählen Sie Arbiter abmelden aus dem Dropdown-Menü.
- Klicken Sie im Fenster Arbiter abmelden auf Ja. Der Arbiter wird aus der Liste der Arbiters entfernt.
Registrieren eines neuen Arbiters
Sie können mehrere Arbiters in Ihrer Struktur installiert haben. Während ein Arbiter für die gesamte AD-Domäne in vielen Fällen ausreichend ist, ist es möglich, mehrere Arbiters zu installieren (z. B. um ein oder zwei Arbiters pro Standort im Active Directory zu haben), um Rundreisen zu minimieren. Siehe auch den Abschnitt über das Konfigurieren von Standorten oben.
- Stellen Sie sicher, dass das Arbiter MSI, das Sie hinzufügen möchten, auf dem entsprechenden Server installiert ist.
- Klicken Sie auf die Schaltfläche Neuen Arbiter registrieren.
- Geben Sie im Fenster Computer auswählen den Namen des Servers ein, auf dem der Arbiter installiert ist. Verwenden Sie die Schaltfläche Namen überprüfen, um den richtigen Computer zu identifizieren.
- Klicken Sie auf OK.
Periodisches Scannen
Das periodische Scannen ist so geplant, dass es einmal täglich vom ausgewählten Domänencontroller durchgeführt wird. Es überprüft Lizenzinformationen und markiert Konten für einige wichtige Richtlinienereignisse, wie z. B. Passwortablauf und Schutz vor kompromittierten Passwörtern. Standardmäßig wird das periodische Scannen um 00:05 auf dem PDC-Emulator-DC durchgeführt. Die Option, die Liste der Benutzer mit kompromittierten Passwörtern zu speichern, ist standardmäßig deaktiviert.
Einstellungen
Im Abschnitt Einstellungen können Sie konfigurieren, wann das periodische Scannen jeden Tag ausgeführt werden soll und wie viele Berichte von diesen periodischen Scans gespeichert werden. Beachten Sie, dass die angegebene Zeit die lokale Zeitzone des ausgewählten Domänencontrollers ist.
Bearbeiten des periodischen Scan-Domänencontrollers, der Zeit und der gespeicherten Berichte
- Klicken Sie im Abschnitt Periodischer Scan auf die Schaltfläche Bearbeiten.
- Klicken Sie im Abschnitt Ausgewählter Domänencontroller auf die Schaltfläche Domänencontroller auswählen.
- Wählen Sie mit der Optionsschaltfläche entweder:
- PDC-Emulator auswählen
- Aus beschreibbaren Domänencontrollern auswählen
- Wenn Aus beschreibbaren Domänencontrollern auswählen ausgewählt wurde, wählen Sie Ihren bevorzugten Domänencontroller in der Liste aus.
- Klicken Sie auf OK.
- Wählen Sie mit der Optionsschaltfläche entweder:
-
Wählen Sie im Abschnitt Ausgewählte Zeit aus, zu welcher Zeit der periodische Scan ausgeführt werden soll.
Hinweis
Die Standardzeit für den periodischen Scan ist auf 00:05 Uhr eingestellt.
-
Klicken Sie auf OK.
-
Stellen Sie das Dropdown-Menü Liste der Konten mit kompromittierten Passwörtern speichern auf Ja, wenn Sie eine Liste dieser Konten speichern möchten (nur für Kunden, die den Schutz vor kompromittierten Passwörtern verwenden).
Hinweis
Wenn Liste der Konten mit kompromittierten Passwörtern speichern auf Ja gesetzt ist, zeigt das Ergebnis des periodischen Scannens einen Konten anzeigen-Link, der das Fenster Konten mit kompromittierten Passwörtern für Breached Password Protection Express und Breached Password Protection Complete öffnet.
-
Stellen Sie die Anzahl der zu speichernden Berichte ein.
Weitere Informationen zur Berichterstattung über periodisches Scannen finden Sie auf der Berichterstattungsseite.
Periodisches Scannen im Gange
Dieser Abschnitt zeigt an, ob ein periodischer Scan derzeit im Gange ist oder nicht. Wenn ein periodischer Scan im Gange ist, kann er durch Klicken auf die Schaltfläche Abbrechen gestoppt werden. Je nach Größe des Active Directory und der Leistung des Domänencontrollers kann das Scannen von wenigen Sekunden bis zu Stunden dauern.
Wann immer ein periodischer Scan läuft, wird eine Fortschrittsanzeige sichtbar sein, die anzeigt, wie viel des Scans durchgeführt wurde.
Letztes Ergebnis des periodischen Scans
Die Ergebnisse des zuletzt durchgeführten periodischen Scans können hier eingesehen werden.
Haupt
Dieser Abschnitt zeigt, wann und auf welcher Domäne der periodische Scan durchgeführt wurde. Es listet auch die Anzahl der verarbeiteten Konten auf und ob es sich um einen geplanten oder manuellen Scan handelte.
Lizenzvalidierungsauftrag
Zeigt die Gesamtzahl der Benutzerkonten und wie viele davon von einem Specops Password Policy GPO betroffen sind.
Passwortablaufauftrag
Dieser Abschnitt zeigt die Anzahl der Konten, die markiert sind, um ihre Passwörter zu ändern, sowie die Benachrichtigungen, die mit diesen Passwortablaufereignissen verbunden sind.
Breached Password Protection Express Auftrag
Dieser Abschnitt listet Informationen zu Konten auf, die von Breached Password Protection Express betroffen sind.
Breached Password Protection Complete Auftrag
Dieser Abschnitt listet Informationen zu Konten auf, die von Breached Password Protection Complete betroffen sind.
Initiieren eines manuellen periodischen Scans
Hinweis
Ein manueller periodischer Scan kann nicht initiiert werden, wenn ein (geplanter) periodischer Scan bereits im Gange ist. Um in solchen Fällen einen manuellen periodischen Scan zu starten, stoppen Sie zuerst den laufenden Scan.
- Klicken Sie auf die Schaltfläche Neu starten.
-
Wählen Sie mindestens einen Auftrag aus:
- Lizenzvalidierungsauftrag
- Passwortablaufauftrag
- Breached Password Protection Express Auftrag
- Breached Password Protection Complete Auftrag
-
Klicken Sie auf die Schaltfläche Scannen starten.
-
Klicken Sie auf Schließen.
Hinweis
Der Scan wird fortgesetzt, auch wenn Sie dieses Fenster schließen.
Sprachdateien
Sie können das Menü Sprachdateien verwenden, um auf neue Versionen von Sprachdateien zu aktualisieren. Dies wird nur aktualisiert, wenn neue Versionen von Sprachdateien auf dem Computer verfügbar sind, auf dem das Domain Administration Tool nach einem Upgrade installiert ist.
Verwendung
Die Sprachdateien werden verwendet, um den Benutzern alle Texte anzuzeigen, wenn sie versuchen, ihr Passwort zu ändern. Wenn eine Sprachdatei gefunden wird, die mit der Sprache der Benutzereinstellungen (System) übereinstimmt, wird diese Sprache für Anzeigezwecke verwendet. Wenn keine passende Sprachdatei existiert, wird die Standardsprache Englisch verwendet.
Die Sprachdateien werden auf den Domänencontrollern gespeichert.
Verfügbare Sprachen
Die folgenden Sprachen sind verfügbar:
- Englisch (Standard)
- Aserbaidschanisch
- Chinesisch (vereinfacht)
- Chinesisch (traditionell)
- Tschechisch
- Dänisch
- Niederländisch
- Finnisch
- Französisch
- Deutsch
- Hindi
- Ungarisch
- Italienisch
- Japanisch
- Koreanisch
- Norwegisch
- Polnisch
- Portugiesisch
- Rumänisch
- Russisch
- Serbisch
- Slowakisch
- Slowenisch
- Spanisch
- Schwedisch
- Thailändisch
- Türkisch
- Ukrainisch
- Walisisch
Passwort-Richtlinienvorlagen
Sie können den Knoten für Passwort-Richtlinienvorlagen verwenden, um eine neue Passwort-Richtlinienvorlage zu erstellen oder eine vorhandene Vorlage mit NIST-, NCSC-, Microsoft- und NSA-Empfehlungen anzuzeigen. Eine Passwort-Richtlinienvorlage hilft dabei, Ihre Richtlinieneinstellungen in Ihrer Domäne konsistent zu halten.
Vorhandene Vorlagen anzeigen
- Erweitern Sie das Menü Passwort-Richtlinienvorlage, indem Sie auf das Plus-Symbol klicken.
- Wählen Sie eine vorhandene Vorlage in der Liste aus, um deren Einstellungen anzuzeigen.
Eine neue Passwort-Richtlinienvorlage erstellen
- Klicken Sie auf Neue Passwort-Richtlinienvorlage.
- Geben Sie im Feld Vorlagenname einen Namen für die Vorlage ein.
- Geben Sie im Feld Beschreibung eine Beschreibung für die Vorlage ein.
- Geben Sie die Einstellungen an und klicken Sie auf Speichern.
Eine vorhandene Passwort-Richtlinienvorlage verwenden
- Erweitern Sie im Gruppenrichtlinienverwaltungs-Editor die Benutzerkonfiguration, Richtlinien, Windows-Einstellungen und wählen Sie Specops Password Policy.
- Klicken Sie auf Neue Passwort-Richtlinie aus Vorlage erstellen. Wählen Sie eine Passwort-Richtlinienvorlage aus, die für die Gruppenrichtlinie verwendet werden soll.
- Wenn die Microsoft- oder NSA-Vorlagen ausgewählt sind, werden Sie zur Seite mit den Richtlinieneinstellungen für zusätzliche Konfigurationsoptionen weitergeleitet. Wenn die NIST- und NCSC-Vorlagen ausgewählt sind, werden Sie aufgefordert:
- Eine Liste nicht erlaubter Wörter zu erstellen.
- Das Passwort-Wörterbuch für die Vorlage herunterzuladen. Das Wörterbuch ist eine Kombination aus Passwortlisten, die für Penetrationstests entwickelt wurden.
- Ein maximales Passwortalter für Benutzer festzulegen, die von der Richtlinie betroffen sind, um proaktiv gegen Passwort-Wörterbücher zu prüfen und die Erstellung von anfälligen Passwörtern zu verhindern. Dies ist eine Empfehlung von Specops, die Ihnen helfen kann, sich gegen die neuesten Wörterbuchlisten zu schützen.
- Wenn die NCSC-Vorlage ausgewählt ist, werden Sie aufgefordert, eine minimale Passwortlänge für Benutzer festzulegen, die von der Richtlinie betroffen sind.
- Sie werden zur Seite mit den Richtlinieneinstellungen für zusätzliche Konfigurationsoptionen weitergeleitet. Klicken Sie auf OK, wenn Sie fertig sind.
Specops Password Auditor
Sie können Specops Password Auditor verwenden, um Ihr Active Directory zu scannen und sicherheitsrelevante Schwachstellen zu erkennen, insbesondere im Zusammenhang mit Passwort-Richtlinien.
Klicken Sie auf Start Specops Password Auditor, um zu beginnen.
Weitere Informationen zu Specops Password Auditor.
Schutz vor kompromittierten Passwörtern
Vollständiger Schutz vor kompromittierten Passwörtern
Mit Specops Breached Password Protection Complete können Sie sicherstellen, dass Benutzer keine Passwörter verwenden können, die als kompromittiert bekannt sind.
Beachten Sie, dass Specops Breached Password Protection Complete vom Arbiter verwaltet wird. Greifen Sie auf das Menü Passwort-Richtlinien-Arbiter zu, um Informationen anzuzeigen und API-Schlüssel zu importieren.
Im Menü Passwort-Richtlinien-Arbiter im Domain Administration Tool können Sie:
- API-Schlüssel importieren
- Cloud-Verbindung testen
- Registrierung aufheben
- Einen neuen Arbiter registrieren
Express-Schutz vor kompromittierten Passwörtern
Die Breached Password Express-Liste ist eine große Sammlung kompromittierter Passwörter, die Sie herunterladen können, um zu verhindern, dass Benutzer Passwörter aus der Liste verwenden. Im Domain Administration Tool können Sie:
- Die neueste Version der Liste herunterladen