Verwaltung
Dieser Leitfaden richtet sich an Administratoren, die für die Verwaltung von Benutzerkonten in ihrer Microsoft Active Directory-Umgebung verantwortlich sind. Bevor Sie die Aufgaben in diesem Leitfaden ausführen, stellen Sie bitte sicher, dass Sie Specops Password Sync korrekt installiert haben.
Hauptkomponenten
Specops Password Sync Administration Tool: Konfiguriert Systemeinstellungen wie Sync-Bereiche, Sync-Server und Sync-Punkte.
Gruppenrichtlinien-Snap-In: Verwalten der Specops Password Sync-Einstellungen.
Specops Password Sync Administration Tool
Das Specops Password Sync Administration Tool kann verwendet werden, um zu erstellen und zu konfigurieren:
- Sync-Bereiche
- Sync-Server
- Sync-Punkte
- Richtlinien
- Einstellungen
Sync-Bereiche
Sync-Bereiche werden verwendet, um eine grundlegende Verwaltungseinheit für die Passwortsynchronisation zu erstellen. Der Bereich ist an eine Ebene in Ihrer Active Directory-Struktur gebunden und ermöglicht die Verwendung von Specops Password Sync auf den Benutzerobjekten unterhalb der ausgewählten Ebene.
Sync-Bereiche können auch verwendet werden, um den administrativen Zugriff im Produkt zu steuern. Durch die Zuweisung spezifischer Sicherheitsgruppen als „Delegierte Sicherheitsgruppen“ für den Bereich ist es möglich, einzuschränken, welche Benutzer die Einstellungen im Sync-Bereich bearbeiten können. Eingebaute Sicherheitsgruppen wie „Domänenadministratoren“ haben automatisch die Berechtigung, alle Sync-Bereiche zu bearbeiten.
Erstellen eines Sync-Bereichs
In großen Umgebungen, in denen die Benutzerverwaltung an mehr als einem Ort erfolgt, sollten Sie mehrere Sync-Bereiche erstellen.
- Wählen Sie im Specops Password Sync Administration Tool Sync-Bereiche aus und klicken Sie auf Neu hinzufügen.
- Geben Sie einen Namen für den Sync-Bereich ein.
- Klicken Sie auf Hinzufügen…, um den Benutzerverwaltungsbereich auszuwählen.
- Wählen Sie den Benutzerverwaltungsbereich aus und klicken Sie auf OK.
-
Um den administrativen Zugriff im Produkt zu steuern, klicken Sie neben Delegierte Sicherheitsgruppen auf Hinzufügen…, um Sicherheitsgruppen die Berechtigung zu erteilen, Sync-Punkte innerhalb des Bereichs zu konfigurieren.
- Geben Sie den Namen der Sicherheitsgruppe ein.
- Klicken Sie auf OK.
Hinweis
- Eingebaute Sicherheitsgruppen wie „Domänenadministratoren“ haben automatisch die Berechtigung, alle Sync-Bereiche zu bearbeiten.
- Wenn Sie die Sicherheitsdelegationsoption im Sync-Bereich verwenden, werden die Berechtigungen im Sync-Bereich-Container in Active Directory am Pfad „CN=<SPS Scope Name>,CN=SyncScopes,CN=Password Sync,CN=Specops,CN=System“ unter der Domänenwurzel aktualisiert.
-
Wenn Sie benutzerdefinierte SMTP-Einstellungen für den Sync-Bereich verwenden möchten, aktivieren Sie Globale E-Mail-Einstellungen überschreiben.
Hinweis
Wenn dieses Feld nicht aktiviert ist, wird die globale SMTP-Konfiguration von der Einstellungsseite für diesen Bereich verwendet.
-
Geben Sie im Feld SMTP-Servername den SMTP-Servernamen ein.
-
Geben Sie im Feld Portnummer die Portnummer auf dem SMTP-Server ein oder durchsuchen Sie diese.
Hinweis
Wenn dieses Feld leer bleibt, wird der Standard-SMTP-Port verwendet.
-
Optional können Sie erweiterte Einstellungen konfigurieren:
- Transport Layer Security (TLS) aktivieren
- Benutzerdefinierte SMTP-Anmeldeinformationen verwenden
Hinweis
Wenn Sie benutzerdefinierte SMTP-Anmeldeinformationen verwenden, müssen Sie den SMTP-Benutzernamen und das SMTP-Passwort eingeben.
-
Geben Sie im Feld E-Mail-Adresse, von der gesendet werden soll die E-Mail-Adresse ein, von der das System E-Mails senden soll.
- Klicken Sie auf OK.
Bearbeiten von Sync-Bereichen
- Wählen Sie im Specops Password Sync Administration Tool Sync-Bereiche aus und wählen Sie den Sync-Bereich aus, den Sie bearbeiten möchten.
- Klicken Sie auf Bearbeiten.
- Nehmen Sie die erforderlichen Änderungen vor und klicken Sie auf OK.
Löschen von Sync-Bereichen
- Wählen Sie im Specops Password Sync Administration Tool Sync-Bereiche aus und wählen Sie den Sync-Bereich aus, den Sie löschen möchten.
- Klicken Sie auf Löschen.
- Klicken Sie im Dialogfeld Sync-Bereich löschen auf OK.
Aktuellen Sync-Bereich festlegen
Das Administration Tool arbeitet mit dem aktuellen Sync-Bereich.
- Wählen Sie im Specops Password Sync Administration Tool Sync-Bereich aus.
- Wählen Sie den Sync-Bereich aus, den Sie als aktuellen Sync-Bereich konfigurieren möchten, und klicken Sie auf Aktuell festlegen.
Sync-Server
Der Sync-Server synchronisiert neue Passwörter mit verbundenen Systemen. Abhängig von der Anzahl der Benutzer in Ihrer Umgebung und der Häufigkeit, mit der sie ihre Passwörter ändern, benötigen Sie möglicherweise mehr als einen Sync-Server. Wenn der primäre Sync-Server nicht erreicht werden kann, wird der sekundäre Server verwendet.
Wenn ein Sync-Server dauerhaft außer Betrieb genommen wird, sollte er aus den Sync-Punkten und Sync-Bereichen entfernt werden.
Sync-Server hinzufügen
- Wählen Sie im Specops Password Sync Administration Tool Sync-Server aus und klicken Sie auf Sync-Server hinzufügen.
- Ihnen wird eine Liste der derzeit in Ihrem Active Directory verfügbaren Sync-Server angezeigt. Wählen Sie den Sync-Server aus, den Sie hinzufügen möchten.
- Klicken Sie auf OK.
Sync-Server entfernen
- Wählen Sie im Specops Password Sync Administration Tool den Sync-Server aus, den Sie entfernen möchten.
- Klicken Sie auf Entfernen.
- Klicken Sie im Dialogfeld Sync-Server entfernen auf Ja.
Sync-Punkte
Die Sync-Punkte steuern die Einstellungen, die verwendet werden, wenn ein Passwort mit einem anderen System synchronisiert wird.
Sie benötigen einen Sync-Punkt für jedes System, mit dem Sie synchronisieren möchten. Sie können mehrere Sync-Punkte konfigurieren, um mit demselben externen System zu synchronisieren, wenn Ihre Organisation unterschiedliche Synchronisationseinstellungen für verschiedene Benutzertypen erfordert.
Der Sync-Punkt gibt auch an, welche Sync-Server für die Synchronisation verwendet werden sollen, sodass Sie separate Sync-Punkte mit unterschiedlichen Servereinstellungen für verschiedene Teile Ihrer Organisation erstellen können.
Sync-Punkte hinzufügen
- Wählen Sie im Specops Password Sync Administration Tool Sync-Punkte aus und klicken Sie auf Neu hinzufügen.
- Geben Sie im Feld Sync-Punkt-Name den Namen des Sync-Punkts ein.
- Sie müssen einen primären Sync-Server auswählen und konfigurieren. Wählen Sie die Schaltfläche Durchsuchen neben Primärer Sync-Server aus und wählen Sie einen Sync-Server aus einer Liste verfügbarer Sync-Server aus.
- Wählen Sie einen Sync-Server aus.
- Klicken Sie auf OK.
- Sie haben die Möglichkeit, einen sekundären Sync-Server auszuwählen und zu konfigurieren. Wählen Sie die Schaltfläche Durchsuchen neben Sekundärer Sync-Server aus, um einen Sync-Server aus einer Liste verfügbarer Sync-Server auszuwählen.
- Wählen Sie einen Sync-Server aus.
- Klicken Sie auf OK.
-
Geben Sie im Feld Maximale Anzahl von Wiederholungen die Anzahl der Versuche an, die Passwortänderung durchzuführen.
Hinweis
Wenn der Sync-Server einen neuen Auftrag erhält, versucht er, das entfernte System gemäß den Einstellungen im Sync-Anbieter zu kontaktieren. Wenn dies nicht erfolgreich ist, verschiebt der Server den Auftrag in eine Wiederholungswarteschlange, aus der der Auftrag zu einem späteren Zeitpunkt erneut versucht wird.
-
Geben Sie im Feld Sekunden zwischen Wiederholungen die Zeit ein, die zwischen den Wiederholungen gewartet werden soll, wenn die Kommunikation mit dem externen System fehlschlägt.
- Wenn der Benutzername im externen System nicht mit dem Windows-Kontonamen identisch ist, müssen Sie die Namenszuordnung verwenden, um den Kontonamen von Ihrem Active Directory in das Benutzername-Format im entfernten System zu übersetzen. Klicken Sie auf die Schaltfläche neben Namenszuordnungseinstellungen. Weitere Informationen zur Verwendung der Namenszuordnungsattribute finden Sie unter Namenszuordnung.
- Klicken Sie auf Anbieter auswählen und konfigurieren, um einen Anbieter für den Sync-Punkt auszuwählen. Der Anbieter ist die Komponente, die bei der Kommunikation mit dem externen System verwendet wird, wenn das Passwort eines Benutzers geändert wird. Sie müssen Ihren ausgewählten Anbieter mit den erforderlichen Einstellungen konfigurieren, um eine Verbindung zum entfernten System herzustellen und Passwörter zu synchronisieren. Die konfigurierbaren Einstellungen variieren je nach Sync-Anbieter. Weitere Informationen zu den konfigurierbaren Einstellungen finden Sie unter Sync-Anbieter-Konfigurationsreferenz.
- Wählen Sie aus dem Anbieter-Dropdown einen Anbieter für den Sync-Punkt aus.
- Konfigurieren Sie die erforderlichen Einstellungen und klicken Sie auf OK.
-
E-Mail-Vorlagen können konfiguriert werden, um Benutzern bei bestimmten Systemereignissen E-Mails zu senden. Wählen Sie aus dem Ereignis-Dropdown ein Ereignis aus, für das Sie eine E-Mail-Vorlage konfigurieren möchten. Weitere Informationen finden Sie unter Verfügbare Ereignisse.
- Klicken Sie auf Neu hinzufügen.
-
Passen Sie im Textfeld für den Inhalt die Informationen an, die an den Benutzer gesendet werden. Sie können die verfügbaren Platzhalter verwenden, um Informationen aus dem System in die E-Mail einzufügen. Die verfügbaren Platzhalter sind:
Platzhalter Beschreibung %providerName% Der Name des Anbieters, der vom Sync-Punkt verwendet wird. %providerConfiguration% Eine Liste mit allen Konfigurationseigenschaften für den Anbieter. %syncPointName% Der Name des Sync-Punkts. %userName% Der Windows-Benutzerkontoname des Benutzers, dessen Passwort geändert wird. %userEmail% Die E-Mail-Adresse des Benutzers, dessen Passwort geändert wird. Diese wird aus dem Benutzerkonto in Active Directory geladen. %externalUserName% Wenn die Namenszuordnung verwendet wird, enthält dies den übersetzten Benutzernamen, der im externen System verwendet wird. Wenn keine Namenszuordnung vorhanden ist, ist dies derselbe wie der Platzhalter %userName%. %errorMessage% Informationen über den aufgetretenen Fehler. %errorType% Der Typ des aufgetretenen Fehlers.
-
Wenn Sie alle erforderlichen Einstellungen konfiguriert haben, klicken Sie auf OK.
Sync-Punkte bearbeiten
- Wählen Sie im Specops Password Sync Administration Tool Sync-Punkte aus und wählen Sie den Sync-Punkt aus, den Sie bearbeiten möchten.
- Klicken Sie auf Bearbeiten.
- Nehmen Sie die erforderlichen Änderungen vor und klicken Sie auf OK.
Sync-Punkte löschen
- Wählen Sie im Specops Password Sync Administration Tool Sync-Punkte aus und wählen Sie den Sync-Punkt aus, den Sie löschen möchten.
- Klicken Sie auf Löschen.
- Klicken Sie im Dialogfeld Sync-Punkte löschen auf Ja.
Richtlinien
Im Abschnitt Richtlinien können Sie Gruppenrichtlinienobjekte mit Specops Password Sync-Einstellungen in Ihrer Domäne anzeigen und bearbeiten. Weitere Informationen zum Bearbeiten der Richtlinie finden Sie im Abschnitt Gruppenrichtlinien-Snap-In dieser Dokumentation.
Gruppenrichtlinienobjekt bearbeiten
- Wählen Sie im Specops Password Sync Administration Tool Richtlinien aus und wählen Sie das GPO aus, das Sie bearbeiten möchten.
- Klicken Sie auf Bearbeiten. Hinweis: Sie können nur Richtlinien bearbeiten, bei denen Specops Password Sync aktiviert ist.
- Nehmen Sie die erforderlichen Änderungen vor und schließen Sie den Gruppenrichtlinien-Editor.
Einstellungen
Die Registerkarte Einstellungen zeigt systemweite Konfigurationseinstellungen, die von Specops Password Sync verwendet werden.
E-Mail-Einstellungen bearbeiten
Sie können die standardmäßigen E-Mail-Einstellungen konfigurieren, die vom System zum Senden von E-Mails verwendet werden. Sie können die systemweiten Einstellungen in jedem Sync-Bereich überschreiben.
- Wählen Sie im Specops Password Sync Administration Tool Einstellungen aus und klicken Sie auf Einstellungen bearbeiten.
- Geben Sie im Feld SMTP-Servername den SMTP-Servernamen ein.
- Geben Sie im Feld Portnummer die Portnummer auf dem SMTP-Server ein oder durchsuchen Sie diese.
-
Optional können Sie erweiterte Einstellungen konfigurieren.
- Transport Layer Security (TLS) aktivieren
- Benutzerdefinierte SMTP-Anmeldeinformationen verwenden
Hinweis
Wenn Sie benutzerdefinierte SMTP-Anmeldeinformationen verwenden, müssen Sie den SMTP-Benutzernamen und das SMTP-Passwort eingeben.
-
Geben Sie im Feld E-Mail-Adresse, von der gesendet werden soll die E-Mail-Adresse ein, von der das System E-Mails senden soll.
- Geben Sie im Feld Anzeigename des Absenders den Anzeigenamen für den Absender ein.
- Geben Sie im Feld Administrative E-Mail-Empfänger die administrative E-Mail-Adresse ein, die E-Mails vom System erhalten soll.
- Klicken Sie auf OK.
Lizenz importieren
Die Registerkarte Lizenzinformationen zeigt Lizenzdaten einschließlich eines Zeitstempels von der täglichen Lizenzzählung an. Um einen neuen Lizenzschlüssel zu importieren:
- Wählen Sie im Specops Password Sync Administration Tool Einstellungen aus und klicken Sie auf Lizenz importieren.
- Durchsuchen Sie den Speicherort der TXT-Datei und klicken Sie auf Öffnen.
Gruppenrichtlinien-Snap-In
Das mit den Verwaltungstools installierte Gruppenrichtlinien-Snap-In ermöglicht es Ihnen, Specops Password Sync-Einstellungen in Gruppenrichtlinienobjekten zu erstellen und zu verwalten. Diese Einstellungen werden als Teil des GPO gespeichert. Die Verwaltung von Specops Password Sync-Einstellungen in Gruppenrichtlinien ermöglicht es Ihnen, zu steuern, wie und wo die Richtlinien angewendet werden.
Erstellen eines Specops Password Sync GPO
- Erweitern Sie im GPMC Ihren Domänenknoten und suchen Sie den Knoten Gruppenrichtlinienobjekte.
- Klicken Sie mit der rechten Maustaste auf den GPO-Knoten und wählen Sie Neu.
- Geben Sie einen Namen für das Gruppenrichtlinienobjekt ein und klicken Sie auf OK.
- Klicken Sie mit der rechten Maustaste auf den neuen GPO-Knoten und wählen Sie Bearbeiten.
- Erweitern Sie im Gruppenrichtlinienverwaltungs-Editor Benutzerkonfiguration, Richtlinien, Windows-Einstellungen und wählen Sie Specops Password Sync aus.
- Bearbeiten Sie die Richtlinie und verknüpfen Sie sie mit der OU, in der der Benutzer enthalten ist.
Richtlinieneinstellungen
Die GPO-Einstellungen ermöglichen es Ihnen, zu aktivieren oder zu deaktivieren, welche Sync-Punkte die von der GPO betroffenen Benutzer verwenden sollen. Sync-Punkte werden aktiviert, indem sie aus der Liste der verfügbaren Sync-Punkte ausgewählt werden.
Hinweis
Der GPO-Editor listet alle für die Domäne konfigurierten Sync-Punkte auf, unabhängig davon, in welchem Sync-Bereich sie erstellt wurden. Wenn Ihre Organisation mehr als einen Sync-Bereich verwendet, sollten Sie eine Namenskonvention für Sync-Punkte implementieren, um sicherzustellen, dass die richtigen Sync-Punkte in den GPOs verwendet werden. Specops Password Sync wird keine Passwörter für Benutzer außerhalb des Sync-Bereichs synchronisieren, in dem der Sync-Punkt erstellt wurde.