Konfiguration der delegierten Helpdesk-Sicherheit
Das Specops Password Reset Helpdesk-Tool kann so konfiguriert werden, dass es eines der folgenden Sicherheitsmodelle verwendet:
- Vertrauenswürdiges Subsystem-Modell: Bei Verwendung des vertrauenswürdigen Subsystem-Modells wird der Zugriff auf das Helpdesk durch die Mitgliedschaft in der lokalen Sicherheitsgruppe „Specops Password Helpdesk Admins“ auf dem Specops Password Reset Server gesteuert. Benutzern, die Zugriff auf das Helpdesk haben, können das Passwort eines beliebigen Benutzers innerhalb des konfigurierten Verwaltungsbereichs in den konfigurierten Domänen zurücksetzen.
- Delegiertes Sicherheitsmodell: Bei Verwendung des delegierten Sicherheitsmodells werden alle Serveroperationen im Sicherheitskontext des Benutzers ausgeführt, der auf die Webseite zugreift. Dies ist nützlich in Umgebungen, in denen die Fähigkeit, Passwörter zurückzusetzen, an Helpdesk-Personal delegiert wurde. Das delegierte Sicherheitsmodell ermöglicht eine detaillierte Protokollierung und Nachverfolgung von Benutzeraktivitäten im System und kann verwendet werden, um eine feingranulare Kontrolle darüber zu bieten, wer welches Passwort zurücksetzen darf.
Das Helpdesk-Tool verwendet standardmäßig das vertrauenswürdige Subsystem-Sicherheitsmodell. Specops Password Reset sollte so konfiguriert werden, dass das Modell verwendet wird, das den Sicherheitsanforderungen Ihrer Organisation am besten entspricht.
Konfigurieren Sie das Helpdesk-Tool zur Verwendung des delegierten Sicherheitsmodells
Um das delegierte Sicherheitsmodell zu verwenden, müssen Sie die folgenden Konfigurationsschritte abschließen:
Konfigurieren Sie das SPR-Dienstkonto:
- Sobald das Dienstkonto für den SPR-Server festgelegt/erstellt wurde, bearbeiten Sie die Kontoeinstellungen für das Konto in Active Directory-Benutzer und -Computer und aktivieren Sie die Kontooption „Dieses Konto unterstützt Kerberos AES 256-Bit-Verschlüsselung“.
Konfigurieren Sie Active Directory für das delegierte Helpdesk:
- Informationen dazu finden Sie unter Wie man Passwort-Zurücksetzungsberechtigungen in Active Directory delegiert.
- Beachten Sie, dass beim Installieren des SPR-Webs vom Setup-Assistenten auf einem anderen als dem SPR-Server in die Domäne eingebundenen Computer das Vertrauen für die Delegierung für das SPR-Web-Computer-Konto aktiviert wird.
Konfigurieren des SPR-Server-Computer-Kontos, um für die Delegierung vertrauenswürdig zu sein:
Das SPR-Server-Computer-Konto muss nicht für die Delegierung konfiguriert werden.
Konfigurieren Sie das SPR-Dienstbenutzerkonto, um für die Delegierung vertrauenswürdig zu sein:
- Navigieren Sie in Active Directory-Benutzer und -Computer zum Dienstkonto.
- Klicken Sie mit der rechten Maustaste auf das Dienstkonto und wählen Sie Eigenschaften.
- Wählen Sie die Registerkarte Konto.
- Stellen Sie sicher, dass Konto ist sensibel und kann nicht delegiert werden in der Kontooptionenliste nicht aktiviert ist.
- Wählen Sie die Registerkarte Delegierung.
- Fügen Sie die Delegierung zu Domänencontrollern hinzu
- Wählen Sie auf der Registerkarte Delegierung im SPR-Dienstbenutzerkonto in Active Directory-Benutzer und -Computer die Option Diesen Benutzer nur für die Delegierung zu bestimmten Diensten vertrauen.
- Wählen Sie Nur Kerberos verwenden, gefolgt von Hinzufügen….
- Wählen Sie den Domänencontroller aus dem Objekt-Auswahlfenster
- Wählen Sie den Diensttyp ldap mit dem FQDN des DC.
- Wiederholen Sie dies für alle Domänencontroller im selben Standort.
- Klicken Sie auf OK.
Erstellen Sie einen Ordner für Protokolldateien und aktivieren Sie die Berechtigungen für Vollzugriff für die Gruppe Specops Password Helpdesk Admins:
- Erstellen Sie auf dem Specops Password Reset Server einen neuen Ordner (z. B.
C:\logfiles\PasswordReset). - Klicken Sie mit der rechten Maustaste auf den Ordner und wählen Sie Eigenschaften.
- Klicken Sie auf der Registerkarte Sicherheit auf Bearbeiten….
- Klicken Sie auf Hinzufügen, um die Gruppe Specops Password Helpdesk Admins hinzuzufügen.
- Klicken Sie auf Standorte….
- Wählen Sie den obersten Knoten aus und klicken Sie auf OK.
- Klicken Sie auf Erweitert….
- Klicken Sie auf Jetzt suchen.
- Wählen Sie Specops Password Helpdesk Admins aus den Suchergebnissen aus und klicken Sie auf OK.
- Klicken Sie auf OK.
- Stellen Sie sicher, dass die Gruppe Specops Password Helpdesk Admins ausgewählt ist, und aktivieren Sie die Berechtigungen für Vollzugriff für Specops Password Helpdesk Admins.
- Klicken Sie auf OK.
Aktualisieren Sie den Protokolldateipfad in der Registrierung:
- Öffnen Sie den Registrierungs-Editor.
- Bearbeiten Sie den folgenden Wert, um dem SPR-Server zu erlauben, die Trace-Datei in das Verzeichnis zu schreiben, in dem die SPR Helpdesk Admins Berechtigungen haben:
- Navigieren Sie zu HKLM\Software\Specopssoft\Specops Password Reset\Server\LogFilePath.
- Geben Sie im Feld Wertdaten den Pfad ein, den Sie in 3a erstellt haben.
C:\logfiles\PasswordReset\PasswordResetServer.log - Klicken Sie auf OK.
- Bearbeiten Sie den folgenden Wert, um die Protokollierung zu aktivieren.
- Navigieren Sie zu HKLM\Software\Specopssoft\Specops Password Reset\Server\Debug.
- Geben Sie im Feld Wertdaten 3 ein.
- Klicken Sie auf OK.
Starten Sie den SPR-Serverdienst neu.
Gewähren Sie dem SPR-Dienstkonto das Privileg „Als Teil des Betriebssystems agieren“. Das Privileg kann entweder mit einem Domänen-Gruppenrichtlinienobjekt oder mit dem Tool „Lokale Sicherheitsrichtlinie“ zugewiesen werden.
- Wenn Sie eine GPO verwenden, um das Privileg zuzuweisen, finden Sie die Einstellung unter Computer-Konfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten.
- Wenn Sie die „Lokale Sicherheitsrichtlinie“ verwenden, müssen Sie die folgenden Schritte ausführen:
- Öffnen Sie die lokale Sicherheitsrichtlinie auf dem SPR-Server.
- Erweitern Sie die folgenden Elemente: Sicherheitseinstellungen, Lokale Richtlinien und klicken Sie auf Zuweisung von Benutzerrechten.
- Doppelklicken Sie auf Als Teil des Betriebssystems agieren
- Klicken Sie auf Benutzer oder Gruppe hinzufügen….
- Fügen Sie das SPR-Dienstkonto zur Richtlinie hinzu und klicken Sie auf OK.
- Klicken Sie auf OK.
Aktivieren Sie das delegierte Sicherheitsmodell im Helpdesk-Tool. Das delegierte Sicherheitsmodell wird aktiviert, indem der folgende Registrierungseintrag für den Specops Password Reset Server geändert wird:
| Registrierungsschlüssel | Beschreibung |
|---|---|
| HKLM\Software\Specopssoft\Specops Password Reset\Server\ UseDelegatedHelpdeskSecurity | Aktiviert das delegierte Sicherheitsmodell im Helpdesk. Wenn der Wert auf „1“ gesetzt ist, wird das delegierte Sicherheitsmodell aktiviert. Wenn auf „0“ gesetzt, wird das vertrauenswürdige Subsystem-Sicherheitsmodell verwendet. Standardwert: 0 |
Erlauben Sie Benutzern, Ereignisse im Anwendungsprotokoll auf dem SPR-Server zu schreiben. Sie müssen den folgenden Registrierungseintrag auf dem Specops Password Reset Server erstellen:
| Registrierungsschlüssel | Wert |
|---|---|
| HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\ CustomSD (REG_SZ) |
O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A ;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU)(A;;0x1;;;S- 1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)(A;;0x2;;;BU) |
Optional: Wenn Ihre Organisation feingranulare Passwort-Richtlinien verwendet, gewähren Sie dem Helpdesk-Personal Leseberechtigungen für feingranulare Passwort-Richtlinien. Wenn feingranulare Passwort-Richtlinien in der Domäne verwendet werden, müssen Sie dem Helpdesk-Personal Leseberechtigungen gewähren, um die korrekten Passwortregeln im Helpdesk-Tool zu sehen.
- Melden Sie sich bei einem Domänencontroller mit einem Konto an, das über Domänen-Admin-Berechtigungen in der Domäne verfügt.
- Führen Sie den folgenden Befehl in einer Eingabeaufforderung aus: