Installation

Dieses Dokument führt Sie durch den Prozess der Installation der Specops Password Policy.

Hauptkomponenten

Specops Password Policy flow

Specops Password Policy besteht aus den folgenden Komponenten und erfordert keine zusätzlichen Server oder Ressourcen in Ihrer Umgebung.

Specops Password Policy Verwaltungstools

Wird verwendet, um die zentralen Aspekte der Lösung zu konfigurieren und die Erstellung von Specops Password Policy Einstellungen in Gruppenrichtlinienobjekten zu ermöglichen.

Specops Password Policy Sentinel

Das Specops Password Policy Sentinel ist ein Installationspaket, das auf allen beschreibbaren Domänencontrollern in einer Domäne installiert werden muss.

Das Specops Sentinel besteht aus dem Sentinel Password Filter und dem Sentinel Service.

Sentinel Password Filter: Der Sentinel Password Filter ist ein Windows Password Filter, der überprüft, ob ein neues Passwort den dem Benutzer zugewiesenen Specops Password Policy Einstellungen entspricht.
Sentinel Service: Der Sentinel Service wird immer als Teil der Specops Password Policy installiert, ist jedoch nur wirksam, wenn das Breached Password Protection Add-on konfiguriert ist.

Weitere Informationen zum Sentinel finden Sie auf der Password Policy Sentinel Seite.

Specops Client

(früher bekannt als der Specops Password Client oder der uReset Client) Zeigt die Passwortregeln an, wenn ein Benutzer die Kriterien der Richtlinie beim Ändern seines Passworts nicht erfüllt. Der Client benachrichtigt Benutzer auch, wenn ihre Passwörter bald ablaufen.

Hinweis

Der Specops Client ist eine optionale Komponente.

Specops Arbiter: Der Specops Arbiter sollte nur installiert werden, wenn Sie das Specops Breached Password Protection Add-on verwenden.

Der Specops Arbiter fungiert als Gateway zwischen dem Sentinel Service und der Specops Breached Password Protection Cloud API, wo die Liste der durchgesickerten Passwörter gefunden wird. Der Specops Arbiter verwendet einen kundenindividuellen API-Schlüssel, um mit der Breached Password Protection Cloud API zu kommunizieren.

Anforderungen

Komponente	Anforderung
Verwaltungstools	Windows 10/11 oder Windows Server 2016/2019/2022 .Net Framework 4.7.2 oder höher Active Directory und Benutzer und Computer Snap-In Gruppenrichtlinien-Verwaltungskonsole (GPMC) Windows Powershell 5.1
Specops Password Policy Sentinel	Windows Server 2016/2019/2022 (Core oder Desktop-Erfahrung) .Net Framework 4.7.2 oder höher Beschreibbarer Domänencontroller
Specops Client	Windows 10 x64, Windows 11 x64 oder Windows Server 2016/2019/2022 Secure Access wird auf Domänencontrollern nicht unterstützt. .Net Framework 4.7.2 oder höher Für Passwortzurücksetzungen mit uReset 8, Secure Access und Specops Password Reset sollte das Specops Cefsharp Runtime MSI installiert werden. Specops Secure Access erfordert .Net 8 Desktop Runtime auf Client-Computern.
Specops Arbiter	Windows Server 2016/2019/2022 (Core oder Desktop-Erfahrung) .Net Framework 4.7.2 oder höher

Installation der Specops Password Policy

Während der Installation wird Specops Password Policy den Setup-Assistenten starten. Der Setup-Assistent hilft Ihnen bei der Installation der folgenden Komponenten für Specops Password Policy:

Verwaltungstools
Specops Arbiter
Sentinel
Client

Laden Sie den Setup-Assistenten herunter.
Speichern und führen Sie den Setup-Assistenten auf Ihrem Server aus.

Hinweis

Standardmäßig wird die Datei nach C:\temp\SpecopsPasswordPolicy_Setup_[VersionNumber] extrahiert
Doppelklicken Sie auf SpecopsPasswordPolicy.Setup.exe, um den Setup-Assistenten zu starten.
Um zu beginnen, klicken Sie im Dialogfeld des Specops Setup-Assistenten auf Installation starten und akzeptieren Sie die Endbenutzer-Lizenzvereinbarung.

Installation der Verwaltungstools

Die Installation der Verwaltungstools wird das Domain-Verwaltungstool und das GPMC-Snap-In sowie das Powershell-Modul installieren. Sie können das Domain-Verwaltungstool verwenden, um Konfigurationen zu verwalten, die für Ihre gesamte Domäne gelten, einschließlich Ihrer Lizenzinformationen, Vorlagen und Specops Password Policy Sentinel-Installationen. Sie können das GPMC-Snap-In verwenden, um Passwort-Richtlinien in einem Gruppenrichtlinienobjekt (GPO) zu konfigurieren. Das GPO kann dann auf Ihre gesamte Domäne oder einen Teil Ihrer Domäne angewendet werden.

Die Verwaltungstools sollten auf dem Computer installiert werden, von dem aus Sie das Produkt verwalten möchten.

Hinweis

Dieser Computer benötigt Internetzugang, um die Online-Wörterbücher herunterzuladen.

Wählen Sie im Hauptmenü Verwaltungstools aus.

Hinweis

Der Installer zeigt an, ob die Installationsvoraussetzungen mit einem grünen Häkchen vor den Voraussetzungen erfüllt sind. Wenn ein rotes Kreuz angezeigt wird, installieren oder aktualisieren Sie bitte diese Komponente in Ihrem System.
Wenn Sie möchten, dass Specops Password Policy das Specops Active Directory Benutzer und Computer (ADUC) Menüerweiterung registriert, klicken Sie auf Menü erweitern.

Hinweis

Dadurch kann Specops die Specops Display Specifiers in der Konfigurationspartition Ihres Active Directory-Waldes hinzufügen, sodass Sie das Produkt direkt über das Rechtsklick-Menü von Active Directory-Objekten verwalten können. Um die Menüerweiterung zu Active Directory hinzuzufügen, muss der Benutzer, der den Setup-Assistenten ausführt, ein Unternehmensadministrator sein.
Klicken Sie auf Installieren.
Klicken Sie im Dialogfeld "Installation erfolgreich" auf OK.

Informationen zur Konfiguration von Richtlinien finden Sie in der Verwaltungsdokumentation.

Installation des Specops Arbiter

Hinweis

Der Specops Arbiter wird für die Verwendung mit dem Specops Breached Password Protection Add-on installiert, sowie um das Senden von E-Mails über den Arbiter zu ermöglichen.

Wählen Sie im Hauptmenü Specops Arbiter aus.
Wenn eine der Voraussetzungen nicht erfüllt ist, aktualisieren oder installieren Sie bitte die erforderlichen Elemente.
Klicken Sie auf Installieren.
Klicken Sie im Dialogfeld "Installation erfolgreich" auf OK.

Installation des Sentinel

Der Sentinel ist ein Passwortfilter auf den Domänencontrollern, der überprüft, ob das neue Passwort den dem Benutzer zugewiesenen Specops Password Policy Einstellungen entspricht. Sie sollten den Sentinel auf allen beschreibbaren Domänencontrollern in Ihrer Domäne installieren. Alle Domänencontroller sollten die gleiche Version des Sentinel haben.

Wählen Sie im Hauptmenü Domain Controller Sentinel aus.
Um den Sentinel auf allen beschreibbaren Domänencontrollern in Ihrer Domäne zu installieren, können Sie:

Option: Erstellen Sie eine Netzwerkfreigabe auf dem lokalen Computer und kopieren Sie das Sentinel MSI-Paket in die neue Netzwerkfreigabe
1. Klicken Sie auf Freigabe erstellen.
2. Wählen Sie einen lokalen Pfad aus, für den die Freigabe erstellt werden soll, und klicken Sie auf OK.
3. Klicken Sie auf Freigabe auswählen.
4. Überprüfen Sie, ob der Netzwerkpfad zur erstellten Netzwerkfreigabe korrekt ist, und klicken Sie auf OK.
Option: Wählen Sie eine vorhandene Netzwerkfreigabe aus und kopieren Sie das MSI-Paket manuell in die vorhandene Netzwerkfreigabe
1. Klicken Sie auf Freigabe auswählen.
2. Navigieren Sie zum Speicherort des MSI-Pakets und klicken Sie auf OK.
  
  Hinweis
  
  Der Standard-Installationspfad für die Extraktion ist: C:\temp\SpecopsPassword_Setup_[VersionNumber]\
Wählen Sie die Domänencontroller aus, auf denen Sie den Sentinel installieren möchten, und klicken Sie auf Installieren.

Hinweis

Sie müssen die Remote-Domänencontroller über Remote Protocol Connection (RPC) erreichen.
Überprüfen Sie, ob sich der Sentinel-Status für die ausgewählten Domänencontroller auf "Installiert" geändert hat.

Hinweis

Wenn sich der Sentinel-Status für die ausgewählten Domänencontroller auf "Installiert" geändert hat, das Symbol neben der Komponente jedoch nicht geändert wurde, können Sie mit dem nächsten Schritt fortfahren.

Nach der Installation: Sie müssen Ihre Domänencontroller neu starten, nachdem Sie den Sentinel installiert haben.

Installation des Clients

Der Specops Client wird mit einem MSI-basierten Installer installiert. Beachten Sie, dass das Upgrade des Specops Client den installierten Client überschreibt.

Wenn installiert, kann der Specops Client in "Programme hinzufügen/entfernen" oder "Programme und Funktionen" innerhalb der Windows-Systemsteuerung gefunden werden. Versionen und Releases können variieren.

Hinweis

Ältere Versionen des Specops Client können als "Specops uReset Client" oder "Specops Password Client" identifiziert werden.

Der Specops Client kann in den folgenden Specops Software-Produkten verwendet werden:

Specops Password Reset
Specops Password Policy
Specops uReset

Upgrade des Specops Client

Organisationen, die nur Specops Password Policy verwenden, müssen das Specops Client MSI bereitstellen. Das CefSharp Runtime MSI ist für dieses Szenario nicht erforderlich.

Organisationen, die Specops uReset oder Specops Password Reset verwenden, müssen zusätzlich zum Specops Client MSI das CefSharp Runtime MSI bereitstellen. Das CefSharp Runtime MSI wird vom gesicherten Browser benötigt, der zum Zurücksetzen von Passwörtern verwendet wird.

Da der Specops Client eine spezifische Version des CefSharp Runtime MSI verwendet, ist es wichtig, das neueste CefSharp Runtime MSI gleichzeitig oder vor der Bereitstellung des Specops Client MSI bereitzustellen.

Während das Specops Client MSI nur mit genau 1 Version installiert werden kann, können mehrere Versionen des CefSharp Runtime MSI gleichzeitig installiert werden. Der Zweck davon ist es, die Bereitstellung in einer größeren Organisation zu vereinfachen.

Der empfohlene Ablauf für das Upgrade des Specops Client ist:

Stellen Sie das neueste CefSharp Runtime MSI bereit, falls es noch nicht bereitgestellt wurde
Stellen Sie das neueste Specops Client MSI bereit
Entfernen Sie alle vorherigen Versionen des CefSharp Runtime MSI, falls erforderlich
Laden Sie die administrativen (ADMX) Vorlagen herunter und aktualisieren Sie sie, um die neueste Version zu haben. In den meisten Fällen sind keine Konfigurationsänderungen erforderlich, es sei denn, dies wird in den Versionshinweisen ausdrücklich angegeben. Siehe den Abschnitt unten zur Konfiguration des Specops Client.

Hinweis

Bei Verwendung des Specops Client in Verbindung mit einem Passwort-Zurücksetzungstool:

Die neueste CefSharp-Browser-Runtime-Version ist erforderlich, wenn Specops uReset/Specops Password Reset verwendet wird (Specops Password Policy-Kunden benötigen die CefSharp-Browser-Runtime nicht). Es wird empfohlen, die CefSharp-Browser-Runtime vor dem Specops Client selbst bereitzustellen.

Das Installations-/Upgrade-Verhalten für die CefSharp-Browser-Runtime wurde geändert. Die Installation einer neueren CefSharp-Runtime ersetzt nicht mehr die ältere installierte Runtime. Stattdessen können mehrere CefSharp-Browserversionen koexistieren. Die Absicht ist, eine Einführung in einer Organisation zu ermöglichen, bei der der neue CefSharp-Browser zuerst bereitgestellt wird. Sobald bereitgestellt, kann der Specops Client aktualisiert werden. Dies erleichtert es, sicherzustellen, dass der Specops Client auf allen Computern während eines Upgrades funktioniert, unabhängig davon, ob die neueste CefSharp-Browser-Runtime bereits bereitgestellt wurde oder nicht.

Der Specops Client muss auf den Client-Computern der Organisation installiert werden, entweder durch manuelle Installation oder durch Bereitstellung mit einem Bereitstellungstool.

Herunterladen des Specops Client

Laden Sie das MSI direkt von der Download-Seite herunter. Benutzer, die Specops Password Policy installieren, können auch über den Abschnitt Client-Installationsdateien herunterladen des Password Policy-Installers auf die Download-Seite zugreifen.

Bereitstellung des Specops Client

Um den Specops Client für alle Benutzer bereitzustellen, verwenden Sie GPSI, Specops Deploy/App oder ein anderes Bereitstellungstool. Der Specops Client unterstützt die stille Installation bei der Bereitstellung mit einem Bereitstellungstool. Das Client MSI kann still mit den Standard-MSI-Schaltern (z.B. /qn) bereitgestellt werden. Es gibt keine Specops-Befehlszeilenparameter für die MSI-Installation.

Manuelle Installation oder Upgrade des Specops Client

Öffnen Sie den Specops Client Setup-Assistenten, den Sie gerade heruntergeladen haben (.msi-Datei)
Klicken Sie im Assistenten auf Weiter.
Akzeptieren Sie die Lizenzvereinbarung, indem Sie das Kontrollkästchen aktivieren, und klicken Sie auf Weiter.
Wählen Sie den Speicherort aus, an dem der Client installiert werden soll (Standardpfad ist C:\Program Files\Specopssoft\Specops Client\), und klicken Sie dann auf Weiter.
Klicken Sie auf Installieren.
Sobald die Installation abgeschlossen ist, klicken Sie auf Fertigstellen.

Konfiguration des Specops Client

Der Specops Client kann mit der administrativen Vorlage in der Gruppenrichtlinien-Verwaltungskonsole konfiguriert werden. Weitere Informationen zur Konfiguration finden Sie auf der Specops Client Seite.

Nach der Installation

Bitte führen Sie die folgenden Aufgaben aus, nachdem Sie Specops Password Policy installiert haben:

Starten Sie Ihre Domänencontroller neu, falls Sie dies noch nicht getan haben.
Öffnen Sie die Password Policy Domain Administration App (zu finden unter Start > Specops Software > Password Policy Domain Administration)
Klicken Sie auf Lizenzdatei importieren....
Navigieren Sie zum Speicherort Ihrer Lizenzdatei, wählen Sie die Datei aus und klicken Sie auf Öffnen.
Wenn Sie Specops Password Policy mit dem Breached Password Protection Add-on verwenden, müssen Sie auch die Arbiter(s) aus dem Domain-Verwaltungstool registrieren:
1. Wählen Sie im Domain-Verwaltungstool Breached Password Protection aus und klicken Sie auf Neuen Arbiter registrieren.
2. Wählen oder geben Sie den Namen Ihres Arbiter-Computers ein und klicken Sie auf OK. Der Arbiter-Computer wird nun der Tabelle hinzugefügt, die alle Specops Password Arbiters enthält.
  
  Hinweis
  
  Sie können auch nach Ihrem Arbiter-Computer suchen, indem Sie auf die Schaltfläche Erweitert klicken und dann Jetzt suchen.
3. Klicken Sie auf die Schaltfläche API-Schlüssel importieren und fügen Sie den API-Schlüssel, den Sie von Specops erhalten haben, in das erscheinende Textfeld ein. Klicken Sie auf OK. Ein grünes Häkchen sollte in der Spalte API-Schlüssel in der Tabelle erscheinen.
  
  Hinweis
  
  Fügen Sie nur den tatsächlichen API-Schlüssel in das Textfeld ein, ohne Kommentare, die möglicherweise vorhanden sind.
4. Klicken Sie auf Cloud-Verbindung testen, um die Verbindung zu testen.
  
  Hinweis
  
  Sie erhalten einen Fehler, der Sie auffordert, einen gültigen Lizenzschlüssel einzugeben, sobald die Installation abgeschlossen ist.
Überprüfen Sie, ob die entsprechenden Gruppenrichtlinienobjekte mit den OUs verknüpft sind, die die richtigen verwalteten Benutzer enthalten.
Konfigurieren Sie Ihre integrierte Domänen-Passwortrichtlinie auf die niedrigsten Einstellungen, die Sie in Ihren Specops Password Policies verwenden möchten.

Hinweis

Dadurch kann der Client die Specops Password Policy Regeln anzeigen, wenn ein Benutzer die Kriterien der Richtlinie beim Ändern seines Passworts nicht erfüllt. Wenn Sie Ihre integrierte Domänen-Passwortrichtlinie nicht auf die niedrigste Einstellung konfigurieren, werden die integrierten Passwortrichtlinienregeln angezeigt.

Konfigurieren Sie als Nächstes Ihre Passwortrichtlinien wie im Verwaltungsabschnitt beschrieben.