Authentifizierung für den Webserver aktivieren
Die Authentifizierung am Password Reset Web Server erfolgt über die Windows Integrierte Authentifizierung. Es ist erforderlich, dass der Dienst als Intranet-Server identifiziert wird, damit dies funktioniert. Wenn die Windows Integrierte Authentifizierung nicht verwendet wird, wird der Benutzer nach seinem Benutzernamen und Passwort gefragt, was die "Basis-Authentifizierung" verwendet und Benutzerinformationen über HTTP sendet.
Integrierte Authentifizierung in Internet Explorer aktivieren
- Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
- Klicken Sie mit der rechten Maustaste auf den GPO-Knoten und wählen Sie Bearbeiten.
- Erweitern Sie im Gruppenrichtlinienverwaltungs-Editor Computerkonfiguration, Richtlinien, Administrative Vorlagen, Windows-Komponenten, Internet Explorer, Internet Explorer-Systemsteuerung und wählen Sie Sicherheitsseite.
- Doppelklicken Sie im Detailbereich auf Liste der Site-zu-Zonen-Zuweisungen.
- Klicken Sie auf Aktivieren.
- Klicken Sie auf Anzeigen….
- Fügen Sie im Textfeld Wertname Ihre URL hinzu.
- Verwenden Sie im Textfeld Wert den Wert „1“ für Einträge in die vertrauenswürdige Zone.
- Klicken Sie im Dialogfeld Inhalte anzeigen auf OK.
- Klicken Sie auf OK, um abzuschließen.
Integrierte Authentifizierung in Firefox aktivieren
Sie können Firefox so konfigurieren, dass es die Windows Integrierte Authentifizierung verwendet.
- Öffnen Sie Firefox.
- Geben Sie in der Adressleiste about:config ein.
- Sie erhalten eine Sicherheitswarnung. Um fortzufahren, klicken Sie auf Ich werde vorsichtig sein, ich verspreche es.
- Sie müssen die folgenden Einstellungen ändern:
| Einstellung | Wert |
|---|---|
| network.automatic-ntlm-auth.trusted-uris | MySprServer.domain.com |
| network.automatic-ntlm-auth.allow-proxies | True |
| network.negotiate-auth.allow-proxies | True |
Integrierte Authentifizierung in Chrome aktivieren
Um Chrome so zu konfigurieren, dass es die Windows Integrierte Authentifizierung verwendet, müssen Sie Chrome.exe konfigurieren. Es wird empfohlen, dass die meisten Organisationen die Befehlszeilenalternative verwenden oder die Registrierung auf einem oder wenigen Computern ändern. In anderen Organisationen, wie Schulen, wo ein Lehrer in der Lage sein sollte, Schülerpasswörter zurückzusetzen, könnte es am besten sein, ein GPO für die OU des Lehrers zu verwenden.
Verwenden Sie die Befehlszeile
Sie können eine chrome.exe-Verknüpfung auf dem Desktop des Benutzers hinzufügen. Starten Sie Chrome mit einer Befehlszeile, die Folgendes enthält:
--auth-server-whitelist="MYSPRSERVER.DOMAIN.COM"
--auth-negotiate-delegate-whitelist="MYSPRSERVER.DOMAIN.COM"
--auth-schemes="digest,ntlm,negotiate"
Registrierung ändern
Konfigurieren Sie die folgenden Registrierungseinstellungen mit den entsprechenden Werten:
| Registrierung | Wert |
|---|---|
| AuthSchemes | Datentyp: String (REG_SZ) Windows-Registrierungsspeicherort: Software\Policies\Google\Chrome\AuthSchemes Mac/Linux Präferenzname: AuthSchemes Unterstützt auf:
Dynamische Richtlinienaktualisierung: Nein, Pro Profil: Nein Beschreibung: Gibt an, welche HTTP-Authentifizierungsschemata von Google Chrome unterstützt werden. Mögliche Werte sind ‚basic‘, ‚digest‘, ‚ntlm‘ und ‚negotiate‘. Trennen Sie mehrere Werte mit Kommas. Wenn diese Richtlinie nicht festgelegt ist, werden alle vier Schemata verwendet. Wert: „basic,digest,ntlm,negotiate“ |
| Registrierung | Wert |
|---|---|
| AuthServerWhitelist | Datentyp: String (REG_SZ) Windows-Registrierungsspeicherort: Software\Policies\Google\Chrome\AuthServerWhitelist Mac/Linux Präferenzname: AuthServerWhitelist Unterstützt auf:
Dynamische Richtlinienaktualisierung: Nein, Pro Profil: Nein Beschreibung: Gibt an, welche Server für die integrierte Authentifizierung auf die Whitelist gesetzt werden sollen. Die integrierte Authentifizierung ist nur aktiviert, wenn Google Chrome eine Authentifizierungsaufforderung von einem Proxy oder von einem Server erhält, der sich in dieser erlaubten Liste befindet. Trennen Sie mehrere Servernamen mit Kommas. Platzhalter (*) sind erlaubt. Wenn Sie diese Richtlinie nicht festlegen, versucht Chrome zu erkennen, ob ein Server im Intranet ist, und nur dann wird auf IWA-Anfragen reagiert. Wenn ein Server als Internet erkannt wird, werden IWA-Anfragen von ihm von Chrome ignoriert. Wert: „MYSPRSERVER.DOMAIN.COM“ |
| Registrierung | Wert |
|---|---|
| AuthNegotiateDelegateWhitelist | Datentyp: String (REG_SZ) Windows-Registrierungsspeicherort: Software\Policies\Google\Chrome\AuthNegotiateDelegateWhitelist Mac/Linux Präferenzname: AuthNegotiateDelegateWhitelist Unterstützt auf:
Dynamische Richtlinienaktualisierung: Nein, Pro Profil: Nein Beschreibung:Server, an die Google Chrome delegieren darf. Trennen Sie mehrere Servernamen mit Kommas. Platzhalter (*) sind erlaubt. Wenn Sie diese Richtlinie nicht festlegen, wird Chrome keine Benutzeranmeldeinformationen delegieren, selbst wenn ein Server als Intranet erkannt wird. Beispielwert: „MYSPRSERVER.DOMAIN.COM“ |
GPO konfigurieren
- Laden Sie Zip-Datei der ADM/ADMX-Vorlagen und Dokumentation von: chromium.org/administrators/policy-templates herunter.
- Fügen Sie die ADMX-Vorlage zu Ihrem zentralen Speicher hinzu. Weitere Informationen finden Sie im Specops Password Reset Administrationshandbuch.
- Konfigurieren Sie ein GPO mit dem DNS-Hostnamen des Specops Password Reset Servers mit Kerberos-Delegationsserver-Whitelist und Authentifizierungsserver-Whitelist.