Specops Authentifizierungs-Client
Hinweis
Der Specops Client erfordert Installation/stille Bereitstellung. Laden Sie die Installationsdateien hier herunter. Es sind keine Konfigurationen oder msi-Parameter für die Bereitstellung erforderlich.
Der Specops Client kann mit der administrativen Vorlage in der Gruppenrichtlinien-Verwaltungskonsole konfiguriert werden.
Der Specops Client verwendet ADMX-Dateien, um die Windows-Registry-Einstellungen zu ändern und die Interaktion der Software mit der Systemsoftware zu verändern. ADMX-Vorlagen sind XML-basierte Dateien für Windows-Gruppenrichtlinieneinstellungen, die angeben, welche Registrierungsschlüssel in der Windows-Registry geändert werden, wenn eine bestimmte Gruppenrichtlinieneinstellung geändert wird (ADML-Dateien sind die lokalisierten XML-Dateien, die die mit den ADMX-Dateien verbundenen Textzeichenfolgen enthalten).
ADMX-Vorlagen können verwendet werden, um zahlreiche Registrierungsschlüssel zu ändern, aber dieses Dokument konzentriert sich auf zwei Einstellungen, die speziell mit dem Specops Client verbunden sind: Erstellen der Startmenüverknüpfung; und Anzeigen/Verbergen des Passwort-zurücksetzen-Links auf der Anmeldeseite.
Zugriff auf die Specops ADMX-Vorlagen
Um auf die mit dem Specops Client verbundenen ADMX-Vorlagen zuzugreifen:
- Öffnen Sie das Gruppenrichtlinien-Verwaltungstool (GPMC).
- Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt (GPO), das Sie ändern möchten, und wählen Sie Bearbeiten.
- Navigieren Sie in der Baumstruktur zu Computerkonfiguration > Richtlinien > Administrative Vorlagen: Richtliniendefinitionen (ADMX-Dateien) > Specops Client. Dort finden Sie alle mit dem Specops Client verbundenen ADMX-Vorlagen.
Verbergen des Passwort-zurücksetzen-Links auf der Anmeldeseite
Ort: Windows-Anmeldung und Passwortänderung verbessern > Den Passwort-zurücksetzen-Link anzeigen
Bei der Windows-Anmeldung ermöglicht ein „Passwort zurücksetzen…“-Link unter den Benutzername/Passwort-Feldern Benutzern in Organisationen, die Specops uReset oder Specops Password Reset verwenden, ihre Passwörter zurückzusetzen. Diese Einstellung ermöglicht es Ihnen, den Passwort-zurücksetzen-Link auf der Windows-Anmeldeseite anzuzeigen oder zu verbergen.
- Öffnen Sie die Datei Den Passwort-zurücksetzen-Link anzeigen.
- Wählen Sie die Option Deaktiviert.
-
Klicken Sie auf OK.
Hinweis
Um die Einstellung erneut zu aktivieren, können Sie die Option entweder auf Nicht konfiguriert oder Aktiviert setzen.
Startmenüverknüpfungserstellung
Ort: Allgemeine Client-Einstellungen > Startmenüverknüpfungen zum Registrieren/Ändern/Zurücksetzen erstellen
Mit installiertem Specops Client werden beim Anmelden eines Benutzers bei Windows Startmenüverknüpfungen zum Registrieren, Zurücksetzen und Ändern des Passworts erstellt. Diese sind praktische Verknüpfungen für Benutzer, um Specops uReset oder Specops Password Reset einfach zu nutzen. Diese Einstellung ermöglicht es Ihnen, diese Verknüpfungen zu verbergen, falls diese nicht angezeigt werden sollen. Wenn diese Verknüpfungen bereits auf einem Computer erstellt wurden, werden sie beim nächsten Anmelden entfernt, wenn diese Einstellung auf deaktiviert gesetzt wurde.
Registrieren, Zurücksetzen und Passwort ändern haben jeweils ihre eigene Vorlagendatei. Das folgende Verfahren ist für alle drei gleich. Die Dateien sind wie folgt benannt:
- Startmenüverknüpfung zum Registrieren erstellen
- Startmenüverknüpfung zum Passwort-zurücksetzen erstellen
- Startmenüverknüpfung zum Passwort-ändern erstellen
- Öffnen Sie die Datei, für die Sie das Verhalten ändern möchten (siehe die Liste der Dateien oben).
- Wählen Sie die Option Deaktiviert.
-
Klicken Sie auf OK.
Hinweis
Um die Einstellung erneut zu aktivieren, können Sie die Option entweder auf Nicht konfiguriert oder Aktiviert setzen.
Erstellen eines zentralen Speichers für Gruppenrichtlinien-Administrationsvorlagen
Der zentrale Speicher für Administrationsvorlagen ermöglicht es Ihnen, alle Vorlagendateien an einem einzigen Ort auf SYSVOL zu speichern, wo sie auf jedem Server Ihrer Domäne zugänglich und präsentierbar sind. Um einen zentralen Speicher für Gruppenrichtlinien-Administrationsvorlagen zu erstellen, kopieren Sie die Specops uReset Client ADMX/ADML-Dateien von %windir%\PolicyDefinitions.
Die ADMX sollte kopiert werden nach:
[Ihre Domäne]\sysvol\[Ihre Domäne]\Policies\PolicyDefinitions
Die ADML sollte kopiert werden nach:
[Ihre Domäne]\sysvol\[Ihre Domäne]\Policies\PolicyDefinitions\en-us
Für weitere Informationen über den zentralen Speicher und bewährte Verfahren besuchen Sie: www.support.microsoft.com/kb/929841
Für Hilfe bei der Installation des Produkts und des Clients, siehe bitte den Installationsabschnitt.
Für Downloads, siehe bitte den Download-Abschnitt.
Dynamische Feedback-Benutzeroberfläche
Hinweis
Das dynamische Feedback bei der Passwortänderung wird nicht unterstützt, wenn die Gruppenrichtlinieneinstellung "Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen" auf Aktiviert gesetzt ist.
Hinweis
Das dynamische Feedback bei der Passwortänderung wird nicht unterstützt, wenn die Authentifizierung mit RSA SecurID erfolgt.
Specops Client und Microsoft Entra SSPR
Dieser Abschnitt gilt für Organisationen, die Specops Password Policy, hybrides Microsoft Entra ID verwenden und Microsoft Entra SSPR für Passwortzurücksetzungen nutzen.
Wenn Microsoft Entra SSPR das Passwort eines Benutzers in einem hybriden Microsoft Entra ID zurücksetzt, wird der Specops Password Policy Sentinel aufgerufen, um das neue Passwort zu bewerten.
Microsoft Entra SSPR wird informiert, wenn Specops Password Policy das neue Passwort ablehnt. Beachten Sie jedoch, dass Microsoft Entra SSPR keine Kenntnis darüber hat, warum das Passwortzurücksetzen abgelehnt wurde. Erwägen Sie die Implementierung von Specops uReset, um eine bessere Benutzererfahrung zu erzielen.
Wenn Client-Computer bereits mit Intune oder Registrierungsrichtlinien konfiguriert sind und Microsoft Entra SSPR für den "Passwort zurücksetzen..."-Link verwenden, muss diese Konfiguration rückgängig gemacht werden.
Um Microsoft Entra SSPR zu verwenden, um das Passwort über den "Passwort zurücksetzen..."-Link auf dem Windows-Anmeldebildschirm zurückzusetzen, verwenden Sie die folgende Konfiguration:
- Bereitstellen des Specops Clients und der Specops CefSharp Runtime MSIs
- Stellen Sie sicher, dass "AllowPasswordReset" unter "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount" im Registrierungswert deaktiviert ist (nicht vorhanden oder auf 0 gesetzt). Dies deaktiviert die integrierte Microsoft Entra SSPR "Passwort zurücksetzen..."-Funktionalität.
- Konfigurieren Sie eine Gruppenrichtlinie, die den Computer betrifft, mit "Microsoft Entra SSPR für Passwortzurücksetzungen verwenden" auf "Aktiviert" aus dem Specops Client ADMX
- Beachten Sie, dass die Funktionen "VPN-loses Passwortzurücksetzen mit zwischengespeicherter Anmeldeinformationen-Aktualisierung" nur mit Specops uReset, aber nicht mit Microsoft Entra SSPR funktionieren.
Client-Konfiguration für Secure Access
Der Specops Client muss auf allen Computern installiert sein, die Secure Access zur Anmeldung verwenden. Da es wichtig ist, dass der Specops Client auf diesen Computern nicht deinstalliert wird, dürfen einzelne Benutzer nicht berechtigt sein, den Specops Client zu deinstallieren (zum Beispiel, indem ihnen keine lokalen Administratorrechte gewährt werden). Wir empfehlen dringend, Deinstallationen des Specops Clients zu überwachen. Um den Specops Client bereitzustellen, wird empfohlen, ein Bereitstellungssystem wie GPSI oder Specops Deploy zu verwenden.
Computer müssen in Active Directory eingebunden sein. Benutzer in Active Directory können mit MFA geschützt werden. Lokale Benutzer werden nicht unterstützt.
Jeder Client-Computer muss mit obligatorischen Einstellungen ausgestattet sein, die sich in der Registrierung befinden. Es wird empfohlen, ADMX-Vorlagen zu verwenden.
ADMX-Einstellungen
Obligatorische Einstellungen
- Specops Authentication API URL
- Specops Authentication API Key
Optionale Einstellungen
- Zeit vor der erneuten Anforderung von MFA nach erfolgreicher Online-Authentifizierung
- Offline-Authentifizierung erlauben
- MFA für lokale Anmeldungen aktivieren
- MFA für Remote-Anmeldungen aktivieren
Für weitere Informationen zu ADMX-Vorlagen siehe den Abschnitt oben auf dieser Seite.