Das Gruppenrichtlinien-Snap-In, das mit den Verwaltungstools installiert wird, ermöglicht Ihnen die Erstellung und Verwaltung von Specops Password Reset-Einstellungen in Gruppenrichtlinien-Objekten. Diese Einstellungen werden als Teil des GPOs gespeichert. Durch die Verwaltung von SPR-Einstellungen in Gruppenrichtlinien können Sie steuern, wie und wo die Richtlinien angewendet werden.
Erstellen eines Specops Password Reset-GPO
- Erweitern Sie in der GPMC Ihren Domain-Knoten und suchen Sie den Knoten Gruppenrichtlinienobjekte.
- Klicken Sie mit der rechten Maustaste auf den GPO-Knoten, und wählen Sie Neu.
- Geben Sie einen Namen für das Gruppenrichtlinienobjekt ein, und klicken Sie auf OK.
- Erweitern Sie Benutzerkonfiguration, Richtlinien, Windows-Einstellungen und wählen Sie Specops Password Reset aus. Verwenden Sie die Einstellungen, um das Zurücksetzen von Kennwörtern für Benutzer in Ihrer Organisation zu verwalten.
Anwenden von Richtlinieneinstellungen
Die Specops Password Reset-Einstellungen gelten für alle Benutzerkonten an Standorten, mit denen Ihr GPO verknüpft ist.
Wenn mehr als ein GPO auf derselben Ebene verknüpft ist, bestimmt die Verknüpfungsreihenfolge der GPOs die Reihenfolge, in der die GPOs verarbeitet werden.
Wenn widersprüchliche Einstellungen aus mehreren GPOs auf einen Benutzer zutreffen, löst die Gruppenrichtlinie den Konflikt. Die Gruppenrichtlinienobjekte werden in der folgenden Reihenfolge angewendet, wobei das Gruppenrichtlinienobjekt, das dem Benutzerobjekt in AD am nächsten ist, den höchsten Vorrang hat.
- Lokale Gruppenrichtlinienobjekte
HINWEIS
Specops Password Reset-Einstellungen können auf dieser Ebene nicht erstellt werden.
- Standortbezogene Gruppenrichtlinienobjekte
- Domain-verknüpfte Gruppenrichtlinienobjekte
- OU-verknüpfte Gruppenrichtlinienobjekte
Wenn Sie Ihre bevorzugten Einstellungen mit der obigen Reihenfolge nicht anwenden können, können Sie die Sicherheitsfilterung verwenden, um über Berechtigungsebenen festzulegen, welche Benutzer und Computer von dem GPO betroffen sind. Mit dieser Sicherheitsfilterung können Sie auch unterschiedliche Richtlinieneinstellungen auf Objekte anwenden, die sich auf derselben Ebene in Active Directory befinden.
Richtlinieneinstellungen
Die Gruppenrichtlinien-Einstellungen legen fest, wie sich das System beim Zugriff durch einen Benutzer verhalten soll. Der Specops Password Reset-Server fragt Active Directory ab, um zu ermitteln, welche Einstellungen für die einzelnen besuchenden Benutzer gelten.
HINWEIS
Specops Password Reset erstellt ein Blattobjekt in Active Directory unter dem Benutzerobjekt, um Registrierinformationen zu speichern. Für weitere Informationen klicken Sie bitte
hier.
Allgemein
Unter der Registerkarte Allgemein können Sie folgende Elemente konfigurieren.
Registrierungsoptionen
Diese Einstellungen steuern die Authentifizierungsmethode für die von der Richtlinie betroffenen Benutzer:
- Geheimfragen
- Verifizierung mit Mobile Code
- Beides
Sie können den Benutzer auch nach seinem aktuellen Kennwort fragen, bevor der Registrierungsassistent gestartet wird. Die Aufforderung an den Benutzer, sein aktuelles Kennwort einzugeben, ist eine gute Sicherheitspraxis.
Optionen für gesperrte Konten
Sie können die Optionen für gesperrte Konten verwenden, um:
- Benutzern gesperrter Konten die Nutzung des Kennwortrücksetzdienstes zu ermöglichen. Wenn Sie dieses Kontrollkästchen aktivieren, kann der Benutzer sein Kennwort zurücksetzen, um sein Konto automatisch zu entsperren.
- Nutzern erlauben, ihr Konto zu entsperren, ohne ihr Kennwort zurückzusetzen: Wenn Sie dieses Feld aktivieren, kann der Benutzer sein Konto entsperren ohne sein Kennwort zu ändern.
Registrierung erzwingen
Mit den Einstellungen zur Erzwingung der Registrierung können Sie steuern, wie sich Ihre Benutzer registrieren sollen. Mit der Einstellung Erinnerungsmodus können Sie die Art der Erinnerungen konfigurieren, die Ihre Benutzer erhalten sollen.
- Tipp in Hinweisfeld: Tipp in einem Hinweisfeld, das in der Taskleiste auftaucht. Durch Anklicken des Erinnerungshinweises wird der Benutzer direkt auf die Registrier-Webseite weitergeleitet. Dies ist die Standardeinstellung in Specops Password Reset.
- Browser starten: Diese Einstellung bewirkt, dass die Erinnerung ein Browserfenster mit der Registrierungs-Webseite öffnet.
- Öffnen eines nicht schließbaren Browser-Vollbilds: Diese Einstellung bewirkt, dass die Erinnerung ein bildschirmfüllendes Browserfenster mit der Registrierungs-Webseite öffnet, das erst nach Abschluss der Registrierung geschlossen werden kann.
Sie können die Erinnerung so konfigurieren, dass sie nur bei der Benutzeranmeldung oder während der Benutzeranmeldung und in regelmäßigen Abständen im Verlauf des Tages erscheint. Sie können die Intervalle mit der Specops Password Reset-Verwaltungsvorlage verwalten. Weitere Informationen dazu finden Sie unter Konfigurieren von Specops Client über die Verwaltungsvorlage.
Geheimfragen
Unter der Registerkarte Geheimfrage können Sie die im GPO verwendeten Geheimfragen bearbeiten. Unter der Registerkarte Geheimfragen können Sie folgende Elemente konfigurieren.
Einstellungen der Geheimfragen
Folgende Einstellungen steuern die Anforderungen an die Art und Weise, wie die Benutzer die Fragen im GPO auswählen und beantworten können.
- Anzahl der Fragen: Die Anzahl der vom Benutzer zu beantwortenden Fragen, wenn er sich mit dem Geheimfragen-Mechanismus authentifiziert. Sie müssen mehr als die in der Richtlinie konfigurierte Anzahl Fragen zur Verfügung haben, damit die Benutzer diese Anforderung erfüllen können.
- Anzahl der zulässigen benutzerdefinierten Fragen: Legt die Anzahl der benutzerdefinierten Fragen fest, die der Benutzer stellen darf.
- Antwort-Mindestlänge benutzerdefinierte Frage: Wenn benutzerdefinierte Fragen erlaubt sind, steuert dieser Wert die Mindestlänge der Antworten auf die benutzerdefinierten Fragen.
- Sperrschwelle: Anzahl der zulässigen fehlgeschlagenen Kennworteingabeversuche, bevor der Benutzer aus Password Reset ausgesperrt wird. Wenn der Benutzer die konfigurierte Anzahl Versuche überschreitet, macht das System die Registrierinformationen ungültig und verhindert, dass er das System benutzen kann, bis eine neue Registrierung vorgenommen wurde.
- Gleiche Antworten zulassen: Ermöglicht es den Benutzern, dieselbe Antwort auf mehr als eine Frage in der Frageserie zu verwenden.
- Groß- und Kleinschreibung beachten: Die Benutzer müssen die Fragen in derselben Schreibweise beantworten, in der sie sie registriert haben.
Fragen bearbeiten
Specops Password Reset enthält eine Auswahl von Fragen mit ihren Sprachübersetzungen, die den von der GPO betroffenen Benutzern zur Verfügung gestellt werden können. Diese Fragen können über die Schaltfläche Fragen importieren importiert werden.
Sie können neue Fragen auch manuell über die Schaltfläche Neue Frage hinzufügen erstellen.
Wenn Sie manuell neue Fragen erstellt haben, müssen Sie Ihre eigenen Übersetzungen bereitstellen. Wenn Sie Übersetzungen für Ihre Fragen bereitstellen möchten, können Sie über die Schaltfläche Sprachen bearbeiten weitere Sprachübersetzungen hinzufügen.
Verifizierung mit Mobile Code
Wenn "Mobilen Verifizierungscode verwenden" aktiviert ist, können Sie unter der Registerkarte "Mobiler Verifizierungscode" konfigurieren, wie das System eine Verbindung zu Ihrem SMS-Dienstanbieter herstellen soll.
Verifizierungscode-Nachricht
Der Specops Password Reset-Server verwendet diese Einstellungen, um eine E-Mail-Nachricht zu erstellen, die an den SMS-Anbieter gesendet und in eine SMS-Nachricht umgewandelt wird, die der Benutzer erhält. Die meisten dieser Einstellungen werden vom SMS-Dienstanbieter festgelegt. Folgende Platzhalter werden vom Specops Password Reset-Server-Dienst evaluiert.
- %MobileNumber%: Enthält die Mobiltelefonnummer, die von Specops Password Reset aus dem Benutzerobjekt des Zielbenutzers in Active Directory entnommen wird.
- %Code%: Enthält den mobilen Verifizierungscode, der von Specops Password Reset generiert wird. Dieser Code ist nur zur Verwendung in der gleichen Sitzung mit dem Webserver gültig, von dem er angefordert wurde.
- %Email%: Enthält die E-Mail-Adresse, die von Specops Password Reset aus dem Benutzerobjekt des Zielbenutzers in Active Directory entnommen wird.
Mobile Verifizierungseinstellungen
Sie können bestimmen, wie der mobile Verifizierungscode von den vom jeweiligen GPO betroffenen Benutzern verwendet wird.
- Umgehung bei fehlender Mobiltelefonnummer: Diese Option ist nur verfügbar, wenn Sie Beide verwenden, also sowohl die mobile Überprüfung als auch Geheimfragen aktiviert haben. Wenn diese Option ausgewählt ist, werden mobile Verifizierungscodes nur für die Benutzer verwendet, die eine in Active Directory konfigurierte Mobiltelefonnummer haben. Bei den anderen Benutzern wird dieser Schritt übersprungen.
- Den Nutzern erlauben, bei der Registrierung eine Mobiltelefonnummer einzugeben: Diese Option ist nur verfügbar, wenn die Option Mobilen Verifizierungscode verwenden aktiviert ist. Wenn diese Option ausgewählt ist, werden Benutzer ohne registrierte Mobiltelefonnummer im Active Directory aufgefordert, sich durch Registrierung ihrer Mobiltelefonnummer im System anzumelden.
- Überprüfung der Mobiltelefonnummer fordern: Diese Option ist nur verfügbar, wenn die Eingabe der Mobiltelefonnummer bei der Registrierung erlauben aktiviert ist. Wenn diese Option gewählt wird, müssen die Nutzer nachweisen, dass sie sich mit der richtigen Mobiltelefonnummer angemeldet haben, indem sie während des Anmeldevorgangs einen Verifizierungscode erhalten und diesen verwenden.
E-Mail-Benachrichtigungen
Bei bestimmten Systemereignissen, z. B. der Registrierung eines Benutzers im System, kann Specops Password Reset E-Mails erstellen und an die Endbenutzer senden, um zu bestätigen, dass der Vorgang erfolgreich war. Die Einstellungen für Ereignisbenachrichtigungen können über die Registerkarte E-Mail-Benachrichtigungen in Ihrem Specops Password Reset-Benutzer-GPO in der GPMC erfolgen. Die Textfelder unterstützen HTML, einschließlich HTML-Links für weitere Anpassungen.
E-Mail-Server-Einstellungen
Diese Einstellungen können verwendet werden, um die E-Mail-Konfiguration des Servers außer Kraft zu setzen, die bei der Installation der Specops Password Reset-Server-Komponente festgelegt wurden. Dies ist in Szenarien nützlich, in denen ein bestimmter Teil der Organisation einen bestimmten SMTP-Server verwenden soll.
Ereignisse
Specops Password Reset kann E-Mail-Benachrichtigungen für folgende Ereignisse senden:
- Kennwort vom Benutzer zurückgesetzt: Dieses Ereignis wird jedes Mal ausgelöst, wenn ein Benutzer sein Kennwort mit Specops Password Reset zurücksetzt. Standardmäßig wird dem Benutzer eine Bestätigungs-E-Mail mit den Einzelheiten über den Rücksetzungsvorgang zugesandt.
- Kennwort vom Helpdesk zurückgesetzt: Dieses Ereignis wird ausgelöst, wenn das Specops Password Reset-Helpdesk-Tool zum Zurücksetzen des Kennworts eines Benutzers verwendet wird. Standardmäßig sind für dieses Ereignis keine E-Mails konfiguriert.
- Benutzer hat sich registriert: Dieses Ereignis wird ausgelöst, wenn ein Benutzer die Registrierung in Specops Password Reset erfolgreich abgeschlossen hat. Standardmäßig wird dem Benutzer eine Bestätigungs-E-Mail mit den Einzelheiten der Registrierung zugesandt.
- Benutzerkonto gesperrt von Specops Password Reset: Dieses Ereignis wird ausgelöst, wenn ein Benutzer zu viele falsche Antworten auf die Geheimfragen gegeben hat. Standardmäßig sind für dieses Ereignis keine E-Mails konfiguriert.
- Konto entsperrt: Dieses Ereignis wird ausgelöst, wenn ein Benutzer sein Konto durch Specops Password Reset entsperrt. Standardmäßig sind für dieses Ereignis keine E-Mails konfiguriert.
- Erinnerung an die Registrierung: Dieses Ereignis wird bei der täglichen Überprüfung des Registrierungsstatus ausgelöst, wenn das System einen Benutzer entdeckt, der noch nicht registriert ist. Standardmäßig sind für dieses Ereignis keine E-Mails konfiguriert, aber es wird dringend empfohlen, eine benutzerdefinierte Erinnerungs-E-Mail hinzuzufügen, die in diesem Fall an den Benutzer gesendet wird.
Benutzerdefinierte Assistenten-Meldungen
Mit den Einstellungen unter der Registerkarte Benutzerdefinierte Assistentenmeldungen können Sie Ihre eigene benutzerdefinierte Nachricht zur Anzeige an die Endbenutzer erstellen, wenn sie einen Anmelde-, Kennwortänderungs- oder Rücksetzungsvorgang abgeschlossen haben. Die von Ihnen erstellte benutzerdefinierte Nachricht kann entweder an die Standardnachricht angehängt werden oder diese vollständig ersetzen.