Verwaltung

Dieses Handbuch richtet sich an die Administratoren, die für die Verwaltung von Benutzerkonten in ihrer Microsoft Active Directory-Umgebung verantwortlich sind. Bevor Sie die Aufgaben in dieser Anleitung ausführen, stellen Sie sicher, dass Sie Specops Password Sync korrekt installiert haben.

Wichtigste Komponenten

Specops Password Sync-Verwaltungstool: Konfiguriert Systemeinstellungen wie Sync-Geltungsbereiche, Sync-Server und Sync-Punkte.

Gruppenrichtlinien-Snap-In: Verwaltet die Specops Password Sync-Einstellungen.

Specops Password Sync-Verwaltungstool

Das Specops Password Sync-Verwaltungstool dient zum Erstellen und Konfigurieren von:

  • Sync-Geltungsbereiche
  • Sync-Server
  • Sync-Punkte
  • Richtlinien
  • Einstellungen

Sync-Geltungsbereiche

Synchronisierungs-Geltungsbereiche werden verwendet, um grundlegende Verwaltungseinheiten für die Kennwortsynchronisierung zu erstellen. Der Geltungsbereich ist an eine Ebene in Ihrer Active Directory-Struktur gebunden und ermöglicht die Anwendung von Specops Password Sync auf die Benutzerobjekte unterhalb der ausgewählten Ebene.

Sync-Geltungsbereiche können auch verwendet werden, um den administrativen Zugriff auf das Produkt zu steuern. Durch die Zuweisung bestimmter Sicherheitsgruppen als "Delegierte Sicherheitsgruppen" für einen Geltungsbereich ist es möglich, die Benutzer einzuschränken, die die Einstellungen im Sync-Geltungsbereich bearbeiten können. Eingebaute Sicherheitsgruppen wie "Domain-Administratoren" haben automatisch die Berechtigung, alle Sync-Geltungsbereiche zu bearbeiten.

Einen Sync-Geltungsbereich erstellen

In großen Umgebungen, in denen die Benutzerverwaltung an mehreren Standorten stattfindet, sollten Sie mehrere Sync-Geltungsbereiche erstellen.

  1. Wählen Sie im Specops Password Sync-Verwaltungstool Sync-Geltungsbereiche aus und klicken Sie auf Neu hinzufügen.
  2. Geben Sie einen Namen für den Sync-Geltungsbereich ein.
  3. Klicken Sie auf Hinzufügen, um den Benutzerverwaltungsgeltungsbereich auszuwählen.
  4. Wählen Sie den Benutzerverwaltungsgeltungsbereich und klicken Sie auf OK.
  5. Zum Steuern des administrativen Zugriffs im Produkt klicken Sie neben Delegierte Sicherheitsgruppen auf Hinzufügen, um Sicherheitsgruppen die Berechtigung zu erteilen, Synchronisierungspunkte innerhalb des Geltungsbereichs zu konfigurieren.
    • Geben Sie den Namen der Sicherheitsgruppe ein.
    • Klicken Sie auf OK.
      HINWEIS
      • Eingebaute Sicherheitsgruppen wie "Domain-Administratoren" haben automatisch die Berechtigung, alle Sync-Geltungsbereiche zu bearbeiten.
      • Wenn Sie die Option der Sicherheitsdelegation für den Sync-Geltungsbereich verwenden, werden die Berechtigungen für den Sync-Geltungsbereichs-Container in Active Directory unter dem Pfad "CN=<SPS Scope Name>,CN=SyncScopes,CN=Password Sync,CN=Specops,CN=System" im Domain-Stamm aktualisiert.
  6. Wenn Sie benutzerdefinierte SMTP-Einstellungen für den Sync-Geltungsbereich verwenden möchten, aktivieren Sie Globale E-Mail-Einstellungen außer Kraft setzen.
    HINWEIS
    Wenn dieses Kästchen nicht markiert ist, wird die globale SMTP-Konfiguration auf der Seite Einstellungen für diesen Geltungsbereich verwendet.
  7. Geben Sie in das Feld SMTP-Servername den Namen des SMTP-Servers ein.
  8. Geben Sie in das Feld Port-Nummer den Port des SMTP-Servers ein oder suchen Sie ihn auf.
    HINWEIS
    Wenn Sie dieses Feld leer lassen, wird der Standard-SMTP-Port verwendet.
  9. Optional können Sie auch erweiterte Einstellungen vornehmen:
    • Aktivieren der Transport Layer Security (TLS)
    • Benutzerdefinierte SMTP-Anmeldeinformationen verwenden
      HINWEIS
      Wenn Sie benutzerdefinierte SMTP-Anmeldeinformationen verwenden, müssen Sie den SMTP-Benutzernamen und das SMTP-Kennwort eingeben.
  10. Geben Sie in das Feld E-Mail-Adresse, von der gesendet werden soll die E-Mail-Adresse ein, von der aus das System die E-Mails versenden soll.
  11. Klicken Sie auf OK.

Bearbeiten von Sync-Geltungsbereichen

  1. Gehen Sie im Specops Password Sync-Verwaltungstool auf Sync Scopes und wählen Sie den Sync-Geltungsbereich aus, den Sie bearbeiten möchten.
  2. Klicken Sie auf Bearbeiten.
  3. Nehmen Sie die erforderlichen Änderungen vor, und klicken Sie auf OK.

Löschen von Sync-Geltungsbereichen

  1. Gehen Sie im Specops Password Sync-Verwaltungstool auf Sync Scopes und wählen Sie den Sync-Geltungsbereich aus, den Sie löschen möchten.
  2. Klicken Sie auf Löschen.
  3. Klicken Sie im Dialogfeld Sync-Geltungsbereich löschen auf OK.

Aktuellen Sync-Geltungsbereich konfigurieren

Das Verwaltungstool arbeitet mit dem aktuellen Synchronisationsgeltungsbereich.

  1. Wählen Sie im Specops Password Sync-Verwaltungstool Sync-Geltungsbereich aus.
  2. Wählen Sie den Sync-Geltungsbereich aus, den Sie als aktuellen Sync-Geltungsbereich konfigurieren möchten, und klicken Sie auf Aktuellen konfigurieren.

Sync-Server

Der Sync-Server synchronisiert neue Kennwörter mit den angeschlossenen Systemen. Je nach Anzahl der Benutzer in Ihrer Umgebung und der Häufigkeit ihrer Kennwortänderungen benötigen Sie möglicherweise mehr als einen Sync-Server. Falls der primäre Sync-Server nicht erreicht werden kann, wird der sekundäre Server verwendet.

Wenn ein Sync-Server dauerhaft außer Betrieb genommen wird, sollte er aus den Sync-Punkten und Sync-Geltungsbereiche entfernt werden.

Sync-Server hinzufügen

  1. Gehen Sie im Specops Password Sync-Verwaltungstool auf Sync-Server und klicken Sie auf Sync Server hinzufügen.
  2. Es wird eine Liste der derzeit in Ihrem Active Directory verfügbaren Sync-Server angezeigt. Wählen Sie den Sync-Server aus, den Sie hinzufügen möchten.
  3. Klicken Sie auf OK.

Sync-Server entfernen

  1. Gehen Sie im Specops Password Sync-Verwaltungstool den Sync-Server aus, den Sie entfernen möchten.
  2. Klicken Sie auf Entfernen.
  3. Klicken Sie im Dialogfeld Sync-Server entfernen auf Ja.

Sync-Punkte

Die Sync-Punkte steuern die Einstellungen, die bei der Synchronisierung eines Kennworts mit einem anderen System verwendet werden.

Sie benötigen einen Sync-Punkt für jedes System, mit dem Sie sich synchronisieren möchten. Sie müssen mehrere Sync-Punkte für die Synchronisierung mit demselben externen System konfigurieren, wenn Ihr Unternehmen unterschiedliche Synchronisierungseinstellungen für verschiedene Arten von Benutzern benötigt.

Der Sync-Punkt gibt auch an, welcher oder welche Synchronisationsserver für die Synchronisation verwendet werden sollen, so dass Sie separate Sync-Punkte mit unterschiedlichen Servereinstellungen für verschiedene Bereiche Ihrer Organisation erstellen können.

Synchronisationspunkte hinzufügen

  1. Wählen Sie im Specops Password Sync-Verwaltungstool die Sync-Punkte aus und klicken Sie auf Neu hinzufügen.
  2. Geben Sie in das Feld Sync-Punkt-Name den Namen des Sync-Punkts ein.
  3. Sie müssen einen Primären Sync-Server auswählen und konfigurieren. Klicken Sie auf die Schaltfläche Durchsuchen neben Primärer Sync-Server, um die Liste verfügbarer Sync-Server zu öffnen.
    • Wählen Sie einen Sync-Server aus.
    • Klicken Sie auf OK.
  4. Sie haben die Möglichkeit, einen sekundären Synchronisierungsserver auszuwählen und zu konfigurieren. Klicken Sie auf die Schaltfläche Durchsuchen neben Sekundärer Sync-Server, um die Liste verfügbarer Sync-Server zu öffnen.
    • Wählen Sie einen Sync-Server aus.
    • Klicken Sie auf OK.
  5. Geben Sie im Feld Maximale Anzahl der Wiederholungsversuche an, wie oft die Kennwortänderung versucht werden soll.
    HINWEIS
    Wenn der Sync-Server einen neuen Auftrag erhält, versucht er, das Fernsystem entsprechend den Einstellungen im Sync-Anbieter zu kontaktieren. Wenn dies nicht gelingt, verschiebt der Server den Auftrag in eine Warteschlange, aus der er zu einem späteren Zeitpunkt erneut versucht wird.
  6. Geben Sie in das Feld Sekunden zwischen Wiederholungsversuchen die Zeit ein, die zwischen den Wiederholungsversuchen gewartet werden soll, wenn die Kommunikation mit dem Fernsystem fehlschlägt.
  7. Wenn ein Benutzername im externen System nicht mit dem Windows-Kontonamen übereinstimmt, müssen Sie das Name-Mapping (Namenszuordnung) verwenden, um den Kontonamen aus Ihrem Active Directory in das Format des Benutzernamens im Fernsystem zu übersetzen. Klicken Sie auf die Schaltfläche neben den Einstellungen für die Namenszuordnung. Weitere Informationen zur Verwendung der Attribute für die Namenszuordnung finden Sie unter Namenszuordnung.
  8. Klicken Sie auf Anbieter auswählen und konfigurieren, um einen Anbieter für den Synchronisationspunkt auszuwählen. Der Anbieter ist die Komponente, die bei der Kommunikation mit dem Fernsystem verwendet wird, wenn das Kennwort eines Benutzers geändert wird. Sie müssen den von Ihnen gewählten Anbieter mit den erforderlichen Einstellungen konfigurieren, um eine Verbindung zum Fernsystem herstellen und Kennwörter synchronisieren zu können. Die konfigurierbaren Einstellungen variieren zwischen den einzelnen Sync-Anbietern. Weitere Informationen zu den konfigurierbaren Einstellungen finden Sie in der Konfigurationsreferenz für Sync-Anbieter.
    • Wählen Sie in der Dropdown-Liste Anbieter einen Anbieter für den Synchronisierungspunkt aus.
    • Konfigurieren Sie die erforderlichen Einstellungen und klicken Sie auf OK.
  9. E-Mail-Vorlagen können so konfiguriert werden, dass sie bei bestimmten Systemereignissen E-Mails an Benutzer senden. Wählen Sie in der Ereignis-Dropdown-Liste ein Ereignis aus, für das Sie eine E-Mail-Vorlage konfigurieren möchten. Weitere Informationen finden Sie unter Verfügbare Ereignisse.
    • Klicken Sie auf Neu hinzufügen.
    • Geben Sie im Textfeld Textkörper die Informationen ein, die an den Benutzer gesendet werden sollen. Sie können die verfügbaren Platzhalter verwenden, um Informationen aus dem System in die E-Mail einzufügen. Die verfügbaren Platzhalter sind:

    PlatzhalterBeschreibung
    %providerName%Der Name des vom Sync-Punkt verwendeten Anbieters.
    %providerConfiguration%Eine Liste mit allen Konfigurationseigenschaften für den Anbieter.
    %syncPointName%Der Name des Synchronisationspunktes.
    %userName%Der Name des Windows-Benutzerkontos des Benutzers, dessen Kennwort geändert werden soll.
    %userEmail%Die E-Mail-Adresse des Benutzers, dessen Kennwort geändert werden soll. Dieser wird aus dem Benutzerkonto im Active Directory geladen.
    %externalUserName%Wenn die Namenszuordnung verwendet wird, enthält dieser Platzhalten den übersetzten Benutzernamen, der im Fernsystem verwendet wird. Wenn keine Namenszuordnung konfiguriert ist, entspricht dies dem Platzhalter %userName%.
    %errorMessage%Informationen über den aufgetretenen Fehler.
    %errorType%Die Art des aufgetretenen Fehlers.
  10. Nachdem Sie alle erforderlichen Einstellungen vorgenommen haben, klicken Sie auf OK.

Synchronisationspunkte bearbeiten

  1. Gehen Sie im Specops Password Sync-Verwaltungstool auf Sync-Bereiche und wählen Sie den Sync-Geltungsbereich aus, den Sie bearbeiten möchten.
  2. Klicken Sie auf Bearbeiten.
  3. Nehmen Sie die erforderlichen Änderungen vor, und klicken Sie auf OK.

Synchronisationspunkte löschen

  1. Gehen Sie im Specops Password Sync-Verwaltungstool auf Sync-Bereiche und wählen Sie den Sync-Geltungsbereich aus, den Sie löschen möchten.
  2. Klicken Sie auf Löschen.
  3. Klicken Sie im Dialogfeld Synchronisierungspunkte löschen auf Ja.

Richtlinien

Im Bereich Richtlinien können Sie Gruppenrichtlinienobjekte mit Specops Password Sync-Einstellungen in Ihrer Domain anzeigen und bearbeiten. Weitere Informationen zur Bearbeitung der Richtlinie finden Sie im Abschnitt Gruppenrichtlinien-Snap-In in dieser Dokumentation.

Gruppenrichtlinienobjekt bearbeiten

  1. Gehen Sie im Specops Password Sync-Verwaltungstool zu Richtlinien und wählen Sie das GPO, das Sie bearbeiten möchten.
  2. Klicken Sie auf Bearbeiten.
    Hinweis: Sie können nur Richtlinien bearbeiten, die Specops Password Sync aktiviert haben.
  3. Nehmen Sie die erforderlichen Änderungen vor und schließen Sie den Gruppenrichtlinien-Editor.

Einstellungen

Die Registerkarte Einstellungen zeigt die von Specops Password Sync verwendeten systemweiten Konfigurationseinstellungen an.

E-Mail-Einstellungen bearbeiten

Sie können die Standard-E-Mail-Einstellungen konfigurieren, die das System zum Senden von E-Mails verwendet. Sie können die systemweiten Einstellungen in jedem Sync-Geltungsbereich außer Kraft setzen.

  1. Gehen Sie im Specops Password Sync-Verwaltungstool auf Einstellungen und klicken Sie auf Einstellungen bearbeiten.
  2. Geben Sie in das Feld SMTP-Servername den Namen des SMTP-Servers ein.
  3. Geben Sie in das Feld Port-Nummer den Port des SMTP-Servers ein oder suchen Sie ihn auf.
  4. Optional können Sie auch erweiterte Einstellungen vornehmen.
    • Aktivieren der Transport Layer Security (TLS)
    • Benutzerdefinierte SMTP-Anmeldeinformationen verwenden
      HINWEIS
      Wenn Sie benutzerdefinierte SMTP-Anmeldeinformationen verwenden, müssen Sie den SMTP-Benutzernamen und das SMTP-Kennwort eingeben.
  5. Geben Sie in das Feld E-Mail-Adresse, von der gesendet werden soll die E-Mail-Adresse ein, von der aus das System die E-Mails versenden soll.
  6. Geben Sie in das Feld Anzeigename des Absenders den Anzeigenamen des Absenders ein.
  7. Geben Sie in das Feld Empfänger der administrativen E-Mail die administrative E-Mail-Adresse ein, die E-Mails vom System erhalten soll.
  8. Klicken Sie auf OK.

Importlizenz

Unter der Registerkarte Lizenzinformationen werden Lizenzdaten einschließlich eines Zeitstempels der täglichen Lizenzzählung angezeigt. Import eines neuen Lizenzschlüssels:

  1. Gehen Sie im Specops Password Sync-Verwaltungstool auf Einstellungen und klicken Sie auf Lizenz importieren.
  2. Navigieren Sie zum Speicherort der entsprechenden TXT-Datei und klicken Sie auf Öffnen.

Gruppenrichtlinien-Snap-In

Das Gruppenrichtlinien-Snap-In, das mit den Verwaltungstools installiert wird, ermöglicht Ihnen die Erstellung und Verwaltung von Specops Password Sync-Einstellungen in Gruppenrichtlinien-Objekten. Diese Einstellungen werden als Teil des GPOs gespeichert. Durch die Verwaltung von Specops Password Sync-Einstellungen in Gruppenrichtlinien können Sie steuern, wie und wo die Richtlinien angewendet werden.

Erstellen eines Specops Password Sync-GPO

  1. Erweitern Sie in der GPMC Ihren Domain-Knoten und suchen Sie den Knoten Gruppenrichtlinienobjekte.
  2. Klicken Sie mit der rechten Maustaste auf den GPO-Knoten, und wählen Sie Neu.
  3. Geben Sie einen Namen für das Gruppenrichtlinienobjekt ein, und klicken Sie auf OK.
  4. Klicken Sie mit der rechten Maustaste auf den neuen GPO-Knoten, und wählen Sie Bearbeiten.
  5. Erweitern Sie im Gruppenrichtlinien-Editor Benutzerkonfiguration, Richtlinien, Windows-Einstellungen und wählen Sie Specops Password Sync aus.
  6. Bearbeiten Sie die Richtlinie und verknüpfen Sie sie mit der OE, in der der Benutzer enthalten ist.

Richtlinieneinstellungen

Mit den GPO-Einstellungen können Sie aktivieren oder deaktivieren, welche Synchronisierungspunkte die vom GPO betroffenen Benutzer verwenden sollen. Synchronisationspunkte werden aktiviert, indem sie aus der Liste der verfügbaren Punkte ausgewählt werden.

HINWEIS
Der GPO-Editor listet alle für die Domain konfigurierten Sync-Punkte auf, unabhängig davon, in welchem Sync-Geltungsbereich sie erstellt wurden. Wenn Ihre Organisation mehr als einen Sync-Geltungsbereich verwendet, sollten Sie eine Namenskonvention für die Sync-Punkte einführen, um sicherzustellen, dass die richtigen Sync-Punkte in den GPOs verwendet werden. Specops Password Sync synchronisiert keine Kennwörter für Benutzer außerhalb des Sync-Geltungsbereichs, in dem der Sync-Punkt erstellt wurde.