Password Policy Sentinel

Der Specops Password Policy Sentinel ist ein Installationspaket, das auf allen beschreibbaren Domain-Controllern in einer Domain installiert werden muss.

Der Specops Sentinel besteht aus dem Sentinel-Kennwortfilter und dem Sentinel-Service.

  • Sentinel-Kennwortfilter: Der Sentinel-Kennwortfilter ist ein Windows-Kennwortfilter, der überprüft, ob ein neues Kennwort die dem Benutzer zugewiesenen Einstellungen der Specops-Kennwortrichtlinie erfüllt.
  • Sentinel-Service: Der Sentinel-Service wird immer als Teil des Specops Password Policy installiert, ist aber nur wirksam, wenn das Breached Password Protection-Add-on konfiguriert ist.

Funktionsweise des Sentinel

Der Sentinel-Service bietet eine Web-API, auf die das SPP Admin-Tool und SPP Cmdlets zurückgreifen.

Standardmäßig ist die Web-API nur auf dem PDC-Emulator aktiv, wenn der SPP-Sentinel dort installiert ist. Andere DCs haben standardmäßig keine aktive Web-API, selbst wenn der SPP-Sentinel auf ihnen installiert sein sollte. Falls es erforderlich ist, kann die Web-API auf diesen DCs ebenfalls aktiviert werden, indem man den korrekten Registry-Schlüssel ändert (siehe unten).

Ports

Die Sentinel-Web-API bedient Anfragen auf http://*:4385, wenn sie aktiv ist.

Wenn der Sentinel-Dienst anläuft und die Web-API auf diesem DC aktiviert ist, fügt der Sentinel-Dienst eine Firewall-Regel für eingehenden Traffic auf Port 4385 hinzu.

Aktivieren und Deaktivieren der Web-API

Soll die Web-API explizit aktiviert oder deaktiviert werden, um sie beispielsweise auf dem PDC-Emulator zu deaktivieren oder auf einem anderen DC als dem PDC-Emulator zu aktivieren, muss der nachstehende Registry-Schlüssel auf 0 bzw. 1 gestellt werden.

Registry-Schlüssel Pfad Wert
EnableWebApi (REG_DWORD32) HKLM\SOFTWARE\Specopssoft\Specops Password Policy\SentinelService 0 (deaktivieren), 1 (aktivieren)