Authentication Client - Specops Password Policy

HINWEIS
Authentication Client erfordert eine Installation bzw. stille Bereitstellung. Sie können die Installationsdateien hier herunterladen. Für die Verbreitung sind keine Konfigurationen oder msi-Parameter erforderlich.

Specops Authentication Client kann über die administrative Vorlage in der Gruppenrichtlinien-Verwaltungskonsole konfiguriert werden.

Specops Authentication Client verwendet ADMX-Dateien zur Änderung der Einstellungen in der Windows-Registry, um zu bestimmen, wie die Software mit dem Betriebssystem interagiert. ADMX-Vorlagen sind XML-basierte Dateien für Windows-Gruppenrichtlinieneinstellungen, die angeben, welche Registry-Schlüssel in der Windows-Registry geändert werden, wenn eine bestimmte Gruppenrichtlinieneinstellung geändert wird (ADML-Dateien sind die lokalisierten XML-Dateien, die die mit den ADMX-Dateien verbundenen Textzeichenfolgen enthalten).

ADMX-Vorlagen können zum Ändern zahlreicher Registry-Schlüssel verwendet werden, aber dieses Dokument konzentriert sich insbesondere auf zwei Einstellungen im Zusammenhang mit Specops Authentication Client: Erstellen der Startmenü-Verknüpfung und Ein-/Ausblenden des Links zum Zurücksetzen des Kennworts auf der Anmeldeseite.

Zugriff auf die Specops ADMX-Vorlagen

Um auf die mit Specops Authentication Client verbundenen ADMX-Vorlagen zuzugreifen:

  1. Öffnen Sie das Tool zur Verwaltung der Gruppenrichtlinien (GPMC).
  2. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt (GPO), das Sie ändern möchten, und wählen Sie Bearbeiten.
  3. Navigieren Sie im Verzeichnisbaus zu Computerkonfiguration > Richtlinien > Administrative Vorlagen: Richtliniendefinitionen (ADMX-Dateien) > Specops Authentication Client. Dort finden Sie alle ADMX-Vorlagen, die mit Specops Authentication Client in Verbindung stehen.

Ausblenden des Links zum Zurücksetzen des Kennworts auf der Anmeldeseite

Erstellung von Startmenü-Verknüpfungen


Ort:Allgemeine Client-Einstellungen > Startmenü-Verknüpfungen zum Anmelden/Ändern/Zurücksetzen erstellen

Wenn Specops Authentication Client installiert ist, werden bei der Anmeldung eines Benutzers bei Windows Verknüpfungen im Startmenü zum Registrieren, Zurücksetzen und Ändern des Kennworts erstellt. Dies sind bequeme Abkürzungen für Benutzer, um Specops uReset oder Specops Password Reset einfach zu verwenden. Mit dieser Einstellung können Sie diese Verknüpfungen ausblenden, wenn sie nicht angezeigt werden sollen. Wenn diese Verknüpfungen bereits auf einem Computer erstellt wurden, werden sie bei der nächsten Anmeldung verborgen, wenn sie auf deaktiviert gesetzt wurden.

Das Registrieren, Zurücksetzen und Ändern des Kennworts haben jeweils eine eigene Vorlagedatei. Der Ablauf ist bei allen drei Varianten gleich. Diese Dateien heißen:

  • Startmenü-Verknüpfung für Registrierung erstellen
  • Startmenü-Verknüpfung für Zurücksetzen erstellen
  • Startmenü-Verknüpfungen für Kennwortänderung erstellen
  1. Öffnen Sie die Datei, für die Sie das Verhalten ändern möchten (siehe Liste mit allen Dateien oben).
  2. Wählen Sie das Optionsfeld Deaktiviert.
  3. Klicken Sie auf OK.
    HINWEIS
    Um diese Einstellung wieder zu aktivieren, können Sie den Wahlknopf entweder auf Nicht konfiguriert oder Aktiviert setzen.
    Alt text for this image

Einen zentralen Speichers für administrative Gruppenrichtlinienvorlagen erstellen


Im zentralen Speicher für Verwaltungsvorlagen können Sie alle Vorlagendateien an einem einzigen Ort auf SYSVOL speichern, von wo aus diese auf jedem Server Ihrer Domain aufgerufen und dargestellt werden können. Zum Erstellen eines zentralen Speichers für administrative Gruppenrichtlinienvorlagen kopieren Sie die Specops uReset-Client-ADMX/ADML-Dateien von%windir%\PolicyDefinitions .

Kopieren Sie die ADMX-Dateien am besten nach:

[Ihre Domain\sysvol\[Ihre Domain]\Policies\PolicyDefinitions

Kopieren Sie die ADML-Dateien am besten nach:

[Ihre Domain\sysvol\[Ihre Domain]\Policies\PolicyDefinitions\en-us

Weitere Informationen über den Zentralen Speicher und bewährte Verfahren finden Sie unter: www.support.microsoft.com/kb/929841

Hilfe bei der Installation des Produkts und des Clients finden Sie im Abschnitt Installation.

Die passenden Downloads finden Sie im Abschnitt Downloads.

Dynamische Feedback-Schnittstelle


HINWEIS
Die dynamische Rückmeldung bei Kennwortänderung wird nicht unterstützt, wenn die Gruppenrichtlinien-Einstellung "Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen" auf Aktiviert gesetzt ist.

Specops Authentication Client and Microsoft Entra SSPR


This section applies to organizations using Specops Password Policy, hybrid Microsoft Entra ID and use Microsoft Entra SSPR for password resets.

When Microsoft Entra SSPR resets a user's password in hybrid Microsoft Entra ID, the Specops Password Policy Sentinel is invoked to evaluate the new password.

Microsoft Entra SSPR will be informed if Specops Password Policy rejects the new password. Note however, that Microsoft Entra SSPR lacks knowledge about why the password reset was rejected. Consider implementing Specops uReset to get a better user experience.

If client computers already are configured using Intune or registry policy and use Microsoft Entra SSPR for the "Password Reset..." link, this configuration must be reverted.

To use Microsoft Entra SSPR to reset password from the "Password Reset..." link on the Windows logon screen, use the following configuration:

  • Deploy the Specops Authentication Client and the Specops CefSharp runtime MSIs
  • Make sure "AllowPasswordReset" under "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount" in registry value is disabled (non-existent or set to 0). This disables the built-in Microsoft Entra SSPR "Reset Password..." functionality.
  • Configure a Group policy affecting the computer, with "Use Microsoft Entra SSPR for password resets" set to "Enabled" from the Specops Client ADMX
  • Note that the features "VPN-less password reset with cached credential update" only works with Specops uReset, but not Microsoft Entra SSPR.