Authentifizierung für den Password Reset-Webserver aktivieren

Die Authentifizierung beim Password Reset-Webserver erfolgt über die integrierte Windows-Authentifizierung. Damit dies funktioniert, muss der Dienst als Intranet-Server identifiziert werden. Wenn die integrierte Windows-Authentifizierung nicht verwendet wird, wird der Benutzer zur Eingabe seines Benutzernamens und Kennworts aufgefordert, wobei die "einfache Authentifizierung" verwendet wird und die Benutzerinformationen über HTTP gesendet werden.

Aktivieren der integrierten Authentifizierung in Internet Explorer

  1. Öffnen Sie die Verwaltungskonsole der Gruppenrichtlinien.
  2. Klicken Sie mit der rechten Maustaste auf den GPO-Knoten, und wählen Sie Bearbeiten.
  3. Erweitern Sie im Gruppenrichtlinien-Verwaltungseditor Computerkonfiguration, Richtlinien, Adminstrationsvorlagen, Windows-Komponenten, Internet Explorer, Internet Explorer Steuertafel und wählen Sie Sicherheitsseite aus.
  4. Doppelklicken Sie im Detailbereich auf Site-zu-Zone-Zuordnungsliste.
  5. Klicken Sie auf Aktivieren.
  6. Klicken Sie auf Anzeigen.
  7. Fügen Sie Ihre URL in das Textfeld Wertname ein.
  8. Verwenden Sie im Textfeld Wert den Wert "1" für Einträge für die vertrauenswürdige Zone.
  9. Klicken Sie im Dialogfeld Inhalt anzeigen auf OK.
  10. Klicken Sie zum Abschluss auf OK.

Aktivieren der integrierten Authentifizierung in Firefox

Sie können Firefox so konfigurieren, dass er die integrierte Windows-Authentifizierung verwendet.

  1. Öffnen Sie Firefox.
  2. Geben Sie in der Adressleiste about:config ein
  3. Es erscheint eine Sicherheitswarnung. Zum Fortzufahren klicken Sie auf Ich werde vorsichtig sein, ich verspreche es.
  4. Nun müssen Sie folgende Einstellungen ändern:
    EinstellungWert
    network.automatic-ntlm-auth.trusted-urisMySprServer.domain.com
    network.automatic-ntlm-auth.allow-proxiesTrue
    network.negotiate-auth.allow-proxiesTrue

Aktivieren der integrierten Authentifizierung in Chrome

Damit Chrome die integrierte Windows-Authentifizierung verwenden kann, müssen Sie Chrome.exe konfigurieren. Für die meisten Unternehmen empfehlen wir, die Befehlszeilenalternative verwenden oder die Registrierung auf einem oder einigen wenigen Computern ändern. In anderen Organisationen, wie z. B. Schulen, in denen ein Lehrer in der Lage sein sollte, die Kennwörter der Schüler zurückzusetzen, ist es möglicherweise besser, ein GPO für die OE des Lehrers zu verwenden.

Verwenden der Befehlszeile

Sie können eine chrome.exe-Verknüpfung auf dem Desktop des Benutzers hinzufügen. Starten Sie Chrome mit folgender Eingabe in der Befehlszeile:

--auth-server-whitelist="MYSPRSERVER.DOMAIN.COM" --auth-negotiate-delegate-whitelist="MYSPRSERVER.DOMAIN.COM" --auth-schemes="digest,ntlm,negotiate"

Ändern der Registrierung

Konfigurieren Sie die folgenden Registry-Einstellungen mit den entsprechenden Werten:

Registry Wert
AuthSchemes Datentyp:

Zeichenfolge (REG_SZ)

Speicherort in der Windows-Registrierung:

Software\Policies\Google\Chrome\AuthSchemes

Name der Mac/Linux-Präferenz:

AuthSchemes

Unterstützt von:

  • Google (Linux, Mac, Windows) ab Version 9

Unterstützte Funktionen:

Dynamische Richtlinienaktualisierung: Nein, Pro Profil: Nein

Beschreibung:

Gibt an, welche HTTP-Authentifizierungsverfahren von Google Chrome unterstützt werden. Mögliche Werte sind "basic", "digest", "ntlm" und "negotiate". Trennen Sie mehrere Werte durch Kommas. Wird diese Richtlinie nicht festgelegt, werden alle vier Schemata verwendet.

Wert:

"basic,digest,ntlm,negotiate"
Registry Wert
AuthServerWhitelist Datentyp:

Zeichenfolge (REG_SZ)

Speicherort in der Windows-Registrierung:

Software\Policies\Google\Chrome\AuthServerWhitelist

Name der Mac/Linux-Präferenz:

AuthServerWhitelist

Unterstützt von:

  • Google (Linux, Mac, Windows) ab Version 9

Unterstützte Funktionen:

Dynamische Richtlinienaktualisierung: Nein, Pro Profil: Nein

Beschreibung:

Gibt an, welche Server für die integrierte Authentifizierung auf die Whitelist gesetzt werden sollen. Die integrierte Authentifizierung wird nur aktiviert, wenn Google Chrome eine Authentifizierungsanfrage von einem Proxy oder einem Server erhält, der in der Liste der zugelassenen Server aufgeführt ist. Trennen Sie mehrere Servernamen durch Kommas. Wildcards (*) sind erlaubt. Wenn Sie diese Richtlinie nicht einstellen, versucht Chrome zu erkennen, ob sich ein Server im Intranet befindet, und reagiert erst dann auf IWA-Anfragen. Wenn ein Server als im Internet erkannt wird, werden IWA-Anfragen von diesem Server von Chrome ignoriert.

Wert:

"MYSPRSERVER.DOMAIN.COM”
Registry Wert
AuthNegotiateDelegateWhitelist Datentyp:

Zeichenfolge (REG_SZ)

Speicherort in der Windows-Registrierung:

Software\Policies\Google\Chrome\AuthNegotiateDelegateWhitelist

Name der Mac/Linux-Präferenz:

AuthNegotiateDelegateWhitelist

Unterstützt von:

  • Google (Linux, Mac, Windows) ab Version 9

Unterstützte Funktionen:

Dynamische Richtlinienaktualisierung: Nein, Pro Profil: Nein

Beschreibung:

Server, an die Google Chrome delegieren kann. Trennen Sie mehrere Servernamen durch Kommas. Wildcards (*) sind erlaubt. Wenn Sie diese Richtlinie nicht festlegen, delegiert Chrome keine Benutzeranmeldeinformationen, selbst wenn ein Server als im Intranet erkannt wird.

Beispielwert:

"MYSPRSERVER.DOMAIN.COM”

GPO konfigurieren

  1. Laden Sie die Zip-Datei mit den ADM/ADMX-Vorlagen und der Dokumentation herunter von: chromium.org/administrators/policy-templates.
  2. Fügen Sie die ADMX-Vorlage zu Ihrem zentralen Speicher hinzu. Weitere Informationen dazu finden Sie im Specops Password Reset-Verwaltungsleitfaden.
  3. Konfigurieren Sie ein GPO mit Specops Password Reset-Server-DNS-Hostname anhand der Kerberos-Delegationsserver-Whitelist und der Authentifizierungsserver-Whitelist.