Installation

Dieses Dokument führt Sie durch den Prozess der Installation von Specops Password Policy.

Hauptkomponenten

Arbeitsweise von Specops Password Policy

Specops Password Policy besteht aus den folgenden Komponenten und erfordert keine zusätzlichen Server oder Ressourcen in Ihrer Umgebung.

Specops Password Policy Verwaltungstools

Dienen zum Konfigurieren der zentralen Aspekte der Lösung und zum Erstellen von Specops-Kennwortrichtlinien-Einstellungen in den Gruppenrichtlinienobjekten.

Specops Password Policy Sentinel

The Specops Password Policy Sentinel is an installation package that must be installed on all writable domain controllers in a domain.

The Specops Sentinel consists of the Sentinel Password Filter, and the Sentinel Service.

  • Sentinel Password Filter: The Sentinel Password Filter is a Windows Password Filter that verifies whether a new password matches the Specops Password Policy settings assigned to the user.
  • Sentinel Service: The Sentinel Service is always installed as part of the Specops Password Policy, but effective only if the Breached Password Protection add-on is configured.

Weitere Informationen zum Sentinel finden Sie auf der Password Policy Sentinel-Seite.

Specops Authentication Client

(früher bekannt als Specops Password Client oder uReset Client) Zeigt die Regeln für die Kennwortrichtlinie an, wenn ein Benutzer die Kriterien der Richtlinie bei einer Änderung seines Kennworts nicht erfüllt. Der Client benachrichtigt die Benutzer auch, wenn ihre Kennwörter bald ablaufen.

HINWEIS
Der Specops Client ist eine optionale Komponente.

Specops Arbiter: Specops Arbiter sollte nur installiert werden, wenn Sie das Specops Breached Password Protection-Add-on verwenden.

Specops Arbiter fungiert als Gateway zwischen dem Sentinel Service und der Specops Breached Password Protection-Cloud-API, in der die Liste der durchgesickerten Kennwörter zu finden ist. Specops Arbiter verwendet einen eindeutigen API-Schlüssel des Kunden zur Kommunikation mit der Breached Password Protection-Cloud-API.

Anforderungen

Anforderungen
Komponente Anforderung
Verwaltungstools
  • Windows 10/11 oder Windows Server 2016/2019/2022
  • .Net Framework 4.7.2 or later
  • Active Directory sowie Benutzer- und Computer-Snap-In
  • Gruppenrichtlinien-Verwaltungskonsole (GPMC)
  • Windows Powershell 5.1
Specops Password Policy Sentinel
  • Windows Server 2016/2019/2022 (Core- oder Desktop-Erlebnis)
  • .Net Framework 4.7.2 or later
  • Domain-Controller mit Schreibzugang
Specops Authentifizierungs-Client
  • Windows 10 x64, Windows 11 x64 or Windows Server 2016/2019/2022
  • .Net Framework 4.7.2 or later
  • For password resets with uReset 8 and Specops Password Reset, the Specops Cefsharp runtime MSI should be installed.
Specops Arbiter
  • Windows Server 2016/2019/2022 (Core- oder Desktop-Erlebnis)
  • .Net Framework 4.7.2 or later

Installieren von Specops Password Policy

Installieren von Specops Password Policy

Während der Installation wird der Setup-Assistent von Specops Password Policy gestartet. Dieser Setup-Assistent hilft Ihnen, die folgenden Komponenten für Specops Password Policy zu installieren:

  • Verwaltungstools
  • Specops Arbiter
  • Sentinel
  • Client
  1. Laden Sie den Setup-Assistenten herunter.
  2. Speichern Sie den Setup-Assistenten und führen Sie ihn auf Ihrem Server aus.
    HINWEIS
    Standardmäßig wird die Datei nach C:\temp\SpecopsPasswordPolicy_Setup_[VersionNumber] extrahiert
  3. Doppelklicken Sie auf SpecopsPasswordPolicy.Setup.exe, um den Setup-Assistenten zu starten.
  4. Zum Beginnen klicken Sie im Dialogfeld des Specops Setup-Assistenten auf Installation starten und Akzeptieren Sie die Endbenutzer-Lizenzvereinbarung.

Installation der Verwaltungstools

Mit der Installation der Verwaltungstools werden das Domain-Verwaltungstool, der GPMC-Snap-In und das Powershell-Modul installiert. Das Domain-Verwaltungstool lässt sich verwenden, um Konfigurationen zu verwalten, die sich auf Ihre gesamte Domain beziehen, einschließlich Ihrer Lizenzdaten, Vorlagen und Password Policy Sentinel-Installationen. Sie können das GPMC-Snap-In verwenden, um Kennwortrichtlinien in einem Gruppenrichtlinienobjekt (GPO) zu konfigurieren. Das GPO kann dann auf Ihre gesamte Domain oder einen Teil Ihrer Domain angewendet werden.

Die Verwaltungstools sollten auf dem Computer installiert sein, von dem aus Sie das Produkt verwalten möchten.

HINWEIS
Dieses Gerät benötigt Internetzugang, um die Online-Wörterbücher herunterladen zu können.
  1. Wählen Sie im Hauptmenü die Option Verwaltungstools.
    HINWEIS
    Das Installationsprogramm wird anzeigen, ob die Installationsvoraussetzungen erfüllt sind, indem es ein grünes Häkchen vor die Voraussetzungen setzt. Wenn eine Komponente mit einem roten Kreuz erscheint, installieren oder aktualisieren Sie sie in Ihrem System.
  2. Wenn Sie möchten, dass Specops Password Policy die Specops Active Directory-Benutzer- und -Computer-Menüerweiterung (ADUC) registriert, klicken Sie auf Menü erweitern.
    HINWEIS
    Dadurch kann Specops die "Specops Display Specifiers" in die Konfigurationspartition Ihres "Active Directory-Waldes" einfügen, so dass Sie das Produkt direkt über das Rechtsklick-Menü in den Active Directory-Objekten verwalten können. Zum Hinzufügen der Menüerweiterung zu Active Directory muss der Benutzer, der den Setup-Assistenten ausführt, Unternehmensadministrator sein.
  3. Klicken Sie auf Installieren.
  4. Klicken Sie im Dialogfeld "Installation erfolgreich" auf OK.

Weitere Informationen zur Einrichtung von Richtlinien entnehmen Sie bitte der Dokumentation zur Verwaltung

Installation von Specops Arbiter

HINWEIS
Specops Arbiter Ist für die Verwendung mit dem Specops Breached Password Protection Add-on und für die Aktivierung des E-Mail-Versands über den Arbiter installiert.
  1. Wählen Sie im Hauptmenü Specops Arbiter aus.
  2. Wenn eine der Voraussetzungen nicht erfüllt ist, aktualisieren oder installieren Sie das erforderliche Element.
  3. Klicken Sie auf Installieren.
  4. Klicken Sie im Dialogfeld "Installation erfolgreich" auf OK.

Installation des Sentinel

Der Sentinel ist ein Kennwortfilter in den den Domain-Controllern, der prüft, ob ein neues Kennwort die dem Benutzer zugewiesenen Einstellungen der Specops-Kennwortrichtlinie erfüllt. Sie sollten den Sentinel auf allen Domain-Controllern mit Schreibberechtigung in Ihrer Domain installieren. Alle Domain-Controller sollten die gleiche Sentinel-Version haben.

  1. Wählen Sie im Hauptmenü Domain-Controller Sentinel.
  2. Um den Sentinel auf allen Domain-Controllern mit Schreibberechtigung in Ihrer Domain zu installieren, können Sie:
    Option
    Erstellen Sie eine Netzwerkfreigabe auf dem lokalen Computer und kopieren Sie das Sentinel msi-Paket in die neue Netzwerkfreigabe
    1. Klicken Sie auf Freigabe erstellen.
    2. Wählen Sie einen lokalen Pfad aus, für den die Freigabe erstellt werden soll, und klicken Sie auf OK.
    3. Klicken Sie auf Freigabe auswählen.
    4. Überprüfen Sie, ob der Netzwerkpfad zur erstellten Netzwerkfreigabe korrekt ist, und klicken Sie auf OK.
    Option
    Wählen Sie eine vorhandene Netzwerkfreigabe und kopieren Sie das msi-Paket manuell in die vorhandene Netzwerkfreigabestelle.
    1. Klicken Sie auf Freigabe auswählen.
    2. Navigieren Sie zum Speicherort des msi-Pakets, und klicken Sie auf OK.
      HINWEIS
      Der standardmäßige Extraktionspfad für das Installationsprogramm lautet: C:\temp\SpecopsPassword_Setup_[VersionNumber]\
  3. Wählen Sie die Domain-Controller aus, auf denen Sie den Sentinel installieren möchten, und klicken Sie auf Installieren.
    HINWEIS
    Sie müssen die Remote-Domain-Controller über eine Remote-Protokollverbindung (RPC) ansprechen.
  4. Überprüfen Sie, ob der Sentinel-Status für die ausgewählten Domain-Controller auf "Installiert" geändert wurde.
    HINWEIS
    Wenn sich der Sentinel-Status für die ausgewählten Domain-Controller auf "Installieren" geändert hat, das Symbol neben der Komponente aber unverändert bleibt, können Sie mit dem nächsten Schritt fortfahren.

Nach der Installation: Nach der Installation des Sentinel müssen Sie Ihre Domain-Controller neu starten.

Installieren des Clients

Specops Authentication Client wird mit einem MSI-basierten Installationsassistenten installiert. Beachten Sie, dass der installierte Client bei einem Upgrade von Specops Authentication Client überschrieben wird.

Sofern eine Installation vorgenommen wurde, finden Sie Specops Authentication Client unter "Apps hinzufügen/entfernen" oder "Apps und Features" in der Windows-Systemsteuerung. Die Versionen und Ausgaben können variieren.

HINWEIS
Ältere Versionen des Specops Authentication Client können noch "Specops uReset Client" oder "Specops Password Client" heißen.

Der Specops Authentication Client kann für folgende Specops Software-Produkte verwendet werden:

  • Specops Password Reset
  • Specops Password Policy
  • Specops uReset

Upgrade von Specops Authentication Client

Organisationen, die nur Specops Password Policy verwenden, müssen die Specops Authentication Client MSI implementieren. Die CefSharp Runtime MSI ist für dieses Szenario nicht erforderlich.

Organisationen, die Specops uReset oder Specops Password Reset verwenden, müssen zusätzlich zur Specops Authentication Client MSI die CefSharp Runtime MSI implementieren. Die CefSharp Runtime MSI wird vom Secured Browser angefordert, der zum Zurücksetzen von Kennwörtern genutzt wird.

Da Specops Authentication Client eine spezifische Version der CefSharp Runtime MSI verwendet, ist es wichtig, die neueste CefSharp Runtime MSI zeitgleich zur oder vor der Implementierung der Specops Authentication Client MSI zu implementieren.

Wenngleich die Specops Authentication Client MSI nur mit genau einer Version installiert werden kann, können mehrere Versionen der CefSharp Runtime MSI zeitgleich installiert werden. Dies dient dem Zweck, das Aufspielen in einer größeren Organisation zu vereinfachen.

Der empfohlene Ablauf für das Upgrade der Specops Authentication Client:

  1. Spielen Sie die neueste CefSharp Runtime MSI auf, falls dies nicht bereits erfolgt ist
  2. Spielen Sie die neueste Specops Authentication Client MSI auf
  3. Heben Sie alle vorherigen Versionen der CefSharp Runtime MSI auf (falls erforderlich)
HINWEIS

Bei Verwendung von Specops Authentication Client in Verbindung mit einem Tool zum Zurücksetzen des Kennworts:

Die neuste CefSharp-Browser-Laufzeitversion ist erforderlich, wenn Specops uReset/Specops Password Reset verwendet wird (Kunden, die nur Specops Password Policy nutzen, benötigen die CefSharp-Browser-Laufzeit nicht). Es empfiehlt sich, die CefSharp-Browser-Laufzeit vor dem Specops Authentication Client selbst aufzuspielen.

Installations-/Upgradeverhalten für CefSharp-Browser-Laufzeit wurde geändert. Bei der Installation einer neueren CefSharp-Laufzeit wird die früher installierte Laufzeit nicht überspielt. Stattdessen können verschiedene CefSharp-Browserversionen nebeneinander existieren. Sinn und Zweck dahinter ist, die Einführung auch in Unternehmen zu ermöglichen, in denen der neue CefSharp-Browser zuerst implementiert wurde. Sobald er implementiert ist, können für den Specops Authentication Client Upgrades durchgeführt werden. So kann leichter gewährleistet werden, dass der Specops Authentication Client bei einem Upgrade auf allen Computern funktioniert, und zwar unabhängig davon, ob die neueste CefSharp-Browserlaufzeit aufgespielt wurde.

Specops Authentication Client muss entweder mittels manueller Installation oder unter Zuhilfenahme eines Implementierungstools auf den Client-Computern des Unternehmens installiert werden.

Herunterladen von Specops Authentication Client

Laden Sie die MSI direkt von der Download-Seite herunter. Benutzer, die Specops Password Policy installieren, können über den Abschnitt Client-Installationsdateien herunterladen des Installationsassistenten von Password Policy auch auf die Download-Seite zugreifen.

Implementierung von Specops Authentication Client

Um Specops Authentication Client für alle Benutzer zu implementieren, verwenden Sie GPSI, Specops Deploy/App oder ein anderes Implementierungstool. Specops Authentication Client unterstützt eine stille Installation, wenn ein Implementierungstool zum Einsatz kommt. Die Client-MSI kann mit Hilfe von standardmäßigen MSI-Switches (z. B. /qn) still implementiert werden. Es gibt keine Specops-Befehlszeilenparameter für die MSI-Installation.

Manuelle Installation oder entsprechendes Upgrade von Specops Authentication Client

  1. Öffnen Sie den eben heruntergeladenen Setup-Assistenten für Specops Authentication Client (.msi-Datei)
  2. Klicken Sie im Assistenten auf Weiter.
  3. Akzeptieren Sie die Lizenzvereinbarung, indem Sie einen Haken in das Kästchen setzen, und klicken Sie auf Weiter.
  4. Wählen Sie den Ort aus, an dem der Client installiert werden soll (der Standardpfad lautet C:\Program Files\Specopssoft\Specops Authentication Client\), und klicken Sie auf Weiter.
  5. Klicken Sie auf Installieren.
  6. Sobald die Installation abgeschlossen ist, klicken Sie auf Fertigstellen.

Konfiguration von Specops Authentication Client

Specops Authentication Client kann über die Verwaltungsvorlage in der Gruppenrichtlinien-Verwaltungskonsole konfiguriert werden. Weitere Informationen zur Konfiguration finden Sie auf der Specops Authentication Client-Seite.

Nach der Installation

Führen Sie die folgenden Aufgaben aus, nachdem Sie Specops Password Policy installiert haben:

  1. Starten Sie Ihre Domain-Controller neu, falls Sie dies nicht bereits getan haben.
  2. Öffnen Sie die Anwendung Password Policy Domain Administration (zu finden unter Start > Specops Software > Kennwortrichtlinien-Domainverwaltung)
  3. Klicken Sie auf Lizenzdatei importieren.
  4. Navigieren Sie zum Speicherort Ihrer Lizenzdatei, wählen Sie die Datei aus und klicken Sie auf Öffnen.
  5. Wenn Sie Specops Password Policy mit dem Add-on Breached Password Protection verwenden, müssen Sie auch den/die Arbiter über das Domain-Verwaltungstool
    1. Wählen Sie im Domain-Verwaltungstool Specops Breached Password Protection aus und klicken Sie auf Neuen Specops Arbiter registrieren.
    2. Wählen Sie den Namen Ihres Arbiter-Computers aus, oder geben Sie ihn ein, und klicken Sie auf OK. Der Arbiter-Computer wird nun in die Tabelle aller Specops Password-Arbiter aufgenommen.
      HINWEIS
      Sie können auch nach Ihrem Arbiter-Computer suchen, indem Sie auf die Schaltfläche Erweitert und dann auf Jetzt suchen klicken.
    3. Klicken Sie auf die Schaltfläche API-Schlüssel importieren und fügen Sie den von Specops erhaltenen API-Schlüssel in das sich öffnende Textfeld ein. Klicken Sie auf OK. In der Spalte API-Schlüssel der Tabelle sollte ein grünes Häkchen erscheinen.
      HINWEIS
      Fügen Sie nur den tatsächlichen API-Schlüssel in das Textfeld ein, lassen Sie eventuelle Kommentare weg.
    4. Klicken Sie auf Cloud-Verbindung testen, um die Verbindung zu prüfen.
      5. HINWEIS
      Sobald die Installation abgeschlossen ist, erhalten Sie eine Fehlermeldung, in der Sie aufgefordert werden, einen gültigen Lizenzschlüssel einzugeben.
    registrieren.
  6. Überprüfen Sie, ob die entsprechenden Gruppenrichtlinienobjekte mit den OEs verknüpft sind, die die richtigen verwalteten Benutzer enthalten.
  7. Konfigurieren Sie Ihre integrierte Domain-Kennwortrichtlinie auf die niedrigsten Einstellungen, die Sie in Ihren Specops-Kennwortrichtlinien verwenden möchten.
    HINWEIS
    Dadurch kann der Client die Regeln der Specops-Kennwortrichtlinie anzeigen, wenn ein Benutzer beim Ändern seines Kennworts die Kriterien der Policy nicht erfüllt. Wenn Sie die integrierte Kennwortrichtlinie für die Domain nicht auf die niedrigste Einstellung konfigurieren, werden die Regeln der integrierten Kennwortrichtlinie angezeigt.

Konfigurieren Sie nun Ihre Kennwortrichtlinien, wie es im Abschnitt Verwaltung beschrieben ist.