Installation

Der folgende Inhalt ist für IT-Administratoren gedacht und kann verwendet werden, um MFA für Windows zu installieren und zu evaluieren. Für weitere Informationen über die unten verwendeten Komponenten und Konzepte siehe die Übersicht.

Die empfohlene Installation besteht darin, das selbstextrahierende Installationspaket herunterzuladen und die Schritte im Installationsassistenten abzuschließen.

Alternativ, wenn Ihre Organisation Windows Server Core (ohne GUI) verwendet, können Sie das auf PowerShell-Skripten basierende Installationsverfahren verwenden.

Anforderungen

Die Umgebung Ihrer Organisation muss die folgenden Anforderungen erfüllen:

Komponente	Anforderung
Gatekeeper-Server-Computer	Vollständig gepatchtes Betriebssystem erforderlich In Ihre Active Directory-Domäne eingebunden Windows Server 2016/2019/2022 (Core oder Desktop-Erfahrung) .Net Framework 4.7.2 oder höher
Gatekeeper Admin Tool	In Ihre Active Directory-Domäne eingebunden Windows 10/11 oder Windows Server 2016/2019/2022 .Net Framework 4.7.2 oder höher
Specops Client	Windows 10 x64, Windows 11 x64 oder Windows Server 2016/2019/2022 Secure Access wird auf Domänencontrollern nicht unterstützt. .Net Framework 4.7.2 oder höher Für Passwortzurücksetzungen mit uReset 8, Secure Access und Specops Password Reset sollte das Specops Cefsharp Runtime MSI installiert werden. Specops Secure Access erfordert .Net 8 Desktop Runtime auf Client-Computern.
Administrative Privilegien	Sowohl für Active Directory als auch für den Gatekeeper-Server-Computer. Es wird empfohlen, die Installation als Domänenadministrator durchzuführen.
Kontenoptionen	Es gibt drei Optionen für das Konto, unter dem der Gatekeeper-Windows-Dienst ausgeführt wird. Bereiten Sie sich darauf vor, eine der folgenden Optionen zu verwenden: Managed Service Account (empfohlen): Die Verwendung eines verwalteten Dienstkontos für den Gatekeeper ist einfach, ohne dass zusätzliche Maßnahmen für Sie als Installationsadministrator erforderlich sind. Das Skript erstellt ein verwaltetes Dienstkonto in Ihrem Active Directory. Wenn der sAMAccountName des Gatekeeper-Servers in Active Directory „SRV17“ ist, lautet der Name des verwalteten Dienstkontos „SGkSRV17$“. Domänenkonto: Wenn Sie ein Domänenkonto verwenden möchten, muss es vor der Installation erstellt werden. Sie benötigen den sAMAccountName und das Passwort des Kontos. Gruppenverwaltetes Dienstkonto: Ein gültiges Dienstkonto, das der Gatekeeper-Computer verwenden darf, muss zuerst erstellt werden.
Sicherheitsgruppen	Das Installationsskript erstellt Sicherheitsgruppen, die von Specops Authentication verwendet werden. Es sind keine Maßnahmen von Ihnen erforderlich. Admin-Gruppe: Benutzer, die Mitglieder dieser Gruppe sind, werden Portaladministratoren sein. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt. Benutzer-Admin-Gruppe: Benutzer, die Mitglieder dieser Gruppe sind, können auf die Benutzerverwaltungsfunktionen im Authentication Web zugreifen. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt. Gatekeepers-Gruppe: Dienstkonten, die Mitglieder dieser Gruppe sind, haben die Berechtigung, Benutzerinformationen zu lesen. Das Konto, das den Gatekeeper ausführt, wird zur Gatekeepers-Sicherheitsgruppe hinzugefügt.

Installation des Gatekeepers, der Verwaltungstools und des Clients

Erstellen eines Kundenkontos

Um ein Kundenkonto zu erstellen, siehe Specops Authentication.
Auf der Seite Datenzentrum auswählen identifizieren Sie das Datenzentrum, das Sie verwenden möchten, und klicken Sie auf Go.

Hinweis

Specops Authentication wird in mehreren Datenzentren gehostet. Derzeit sind zwei Datenzentren verfügbar: EU (Europa) und NA (Nordamerika).

Warnung

Stellen Sie sicher, dass Sie das Datenzentrum auswählen, in dem Ihr Konto erstellt werden soll. Sie können das Datenzentrum nicht ändern, nachdem Ihr Konto erstellt wurde.
Geben Sie im Feld Name Ihrer Organisation den Namen Ihrer Organisation ein.
Geben Sie im Feld Domänenname Ihrer Organisation einen Domänennamen ein.
Geben Sie im Feld Primärer Kontaktname einen Namen ein. Idealerweise sollte dies der Name der Person sein, die das Konto einrichtet.
Geben Sie im Feld Primäre Kontakt-E-Mail die E-Mail-Adresse ein, die mit dem primären Kontakt verbunden ist.
Setzen Sie ein Häkchen für jedes Produkt, das Sie lizenziert haben.
Setzen Sie ein Häkchen für alle zusätzlichen Pakete, die Sie lizenziert haben.
Stimmen Sie den Nutzungsbedingungen zu, indem Sie ein Häkchen setzen.
Klicken Sie auf Weiter.

Cloud-Kontoseite

Auf der Seite Cloud-Konten müssen Sie Ihr erstes Cloud-Konto erstellen. Dieses Cloud-Konto ist erforderlich, um den Rest der Installation durchzuführen.
- Geben Sie im Feld E-Mail-Adresse des Cloud-Kontos die E-Mail-Adresse ein, die Sie mit diesem Cloud-Konto verknüpfen möchten. Ein Suffix wird zur E-Mail-Adresse hinzugefügt, um dieses Cloud-Konto von einem lokalen Konto mit derselben E-Mail-Adresse/UPN zu unterscheiden.
- Das Feld Vollständiger Cloud-Kontoname ist schreibgeschützt. Der vollständige Cloud-Kontoname wird automatisch aus der von Ihnen im Feld E-Mail-Adresse des Cloud-Kontos angegebenen E-Mail-Adresse/UPN generiert.
Klicken Sie auf Weiter.
Ein Code wird an die von Ihnen angegebene E-Mail-Adresse gesendet. Geben Sie den Code in das Feld Code ein und klicken Sie auf Bestätigen.

Mobile Code-Seite

Um Ihr Mobiltelefon mit Ihrem Cloud-Konto zu registrieren, geben Sie Ihre Mobiltelefonnummer mit der richtigen Ländervorwahl ein und klicken Sie auf Senden. Sie erhalten einen Code auf Ihrem Mobiltelefon, den Sie auf dem Bildschirm eingeben, um sich zu authentifizieren.

Cloud-Kontopasswortseite

Geben Sie auf der Seite Cloud-Kontopasswort das Passwort ein und bestätigen Sie es, das Sie für dieses Cloud-Konto verwenden möchten, und klicken Sie auf OK. Dies ist das Passwort, mit dem Sie sich zukünftig bei Ihrem Cloud-Konto anmelden.

Hinweis

Die Richtlinie für dieses Passwort kann nicht geändert werden.

Authentication Web

Sie werden im Admin-Bereich des Specops Authentication Web angemeldet. Hier können Sie einen neuen Gatekeeper erstellen. Ein Gatekeeper ist erforderlich, um sich mit Active Directory-Konten anzumelden.
Klicken Sie auf die Schaltfläche Neuen Gatekeeper erstellen. Auf der Download-Seite sehen Sie das selbstextrahierende Installationspaket und den Aktivierungscode. Klicken Sie auf kopieren neben dem Aktivierungscode, um ihn in die Zwischenablage zu speichern. Wenn Sie sich nicht auf dem Server befinden, auf dem der Gatekeeper installiert wird, notieren Sie sich den Aktivierungscode.
Klicken Sie auf Download neben Standard selbstextrahierendes Installationspaket. Das Paket enthält die Installationsdateien für den Gatekeeper und Ihre Konfigurationsinformationen. Standardmäßig wird das Paket in Ihren Downloads-Ordner heruntergeladen.
- Stellen Sie sicher, dass Sie einen Server bereit haben, um das Paket zu installieren.
- Notieren Sie sich den auf der Seite angezeigten Aktivierungscode, da Sie während der Installation danach gefragt werden.
Kopieren Sie das Installationspaket auf Ihren Server, wenn es dort noch nicht vorhanden ist, und führen Sie die Installationsdatei auf Ihrem Server aus.

Installation der Verwaltungstools

Die Verwaltungstools werden verwendet, um die Serverkomponente, auch bekannt als Gatekeeper, zu installieren und zu konfigurieren. Der Installationsprozess sollte auf demselben Server durchgeführt werden, der für den Betrieb des Gatekeepers verwendet wird.

Klicken Sie im Specops Authentication Setup-Launcher (gestartet durch Doppelklicken auf das Installationspaket) auf Admin Tools installieren.
Sobald die Admin Tools installiert sind, klicken Sie auf Admin Tools starten.

Installation des Gatekeepers

Klicken Sie auf Gatekeeper installieren.
Sie werden aufgefordert, nur fortzufahren, wenn Sie den Aktivierungscode von der Gatekeeper-Download-Seite im Specops Authentication Web haben. Klicken Sie auf Weiter.
Wählen Sie den Active Directory-Domänencontroller aus, mit dem Sie sich verbinden möchten.
Wenn Sie keine Berechtigungen haben, um Specops Authentication auf Domänenebene zu installieren, wird Ihnen die Option angeboten, den Gatekeeper für eine Organisationseinheit zu konfigurieren, in der Sie Administrator sind. Begrenzen Sie die Delegationswurzel und die Einstellungen für die Objekte und klicken Sie auf Weiter.
Wählen Sie den Active Directory-Bereich aus, in dem Berechtigungen erstellt werden sollen, indem Sie den Bereich im AD-Baum hervorheben und auf Ausgewählte hinzufügen klicken. Mehrere Standorte können für mehrere Verwaltungsbereiche ausgewählt werden. Der Active Directory-Bereich bestimmt, welche Benutzer den Specops Authentication Service nutzen können. Wenn Sie nicht möchten, dass Administratoren und Manager im Verwaltungsbereich sind, sie aber dennoch das System verwalten oder Benutzer authentifizieren sollen, setzen Sie ein Häkchen neben Admins und Manager dürfen außerhalb des ausgewählten Bereichs sein.
Klicken Sie auf Weiter.
Der Gatekeeper wird als Windows-Dienst ausgeführt. Wählen Sie den Kontokontext aus, unter dem der Gatekeeper-Dienst ausgeführt werden soll. Sie können zwischen Managed Service Account, Group Managed Service Account und Custom Domain Account wählen.
- Standard ist Group Managed Service Account (GMSA) und wird für die meisten Organisationen empfohlen
- Wenn Custom Domain Account ausgewählt ist, geben Sie den Kontonamen und das Passwort des Benutzerkontos ein, unter dem der Gatekeeper-Dienst ausgeführt wird.
- Die Verwendung des Group Managed Service Account hat zusätzliche Anforderungen, siehe Group Managed Service Account hier.
Klicken Sie auf Weiter.
Als nächstes wird Ihnen eine Übersicht über die mit Specops Authentication verbundenen Sicherheitsgruppen angezeigt. Standardmäßig werden die folgenden Sicherheitsgruppen erstellt. Sie können entweder die Standardgruppennamen beibehalten oder einen neuen Namen eingeben:
- Admin-Gruppe: Benutzer, die Mitglieder dieser Gruppe sind, werden Portaladministratoren sein. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
- Benutzer-Admin-Gruppe: Benutzer, die Mitglieder dieser Gruppe sind, können auf die Benutzerverwaltungsfunktionen im Specops Authentication Web zugreifen. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
- Gatekeepers-Gruppe: Dienstkonten, die Mitglieder dieser Gruppe sind, haben die Berechtigung, Benutzerinformationen zu lesen. Das Konto, das den Gatekeeper ausführt, wird zur Gatekeepers-Sicherheitsgruppe hinzugefügt.
Hinweis

In diesem Schritt können Sie auch Mitglieder zu Sicherheitsgruppen hinzufügen, indem Sie auf den Link Mitglieder bearbeiten für die Sicherheitsgruppe klicken und dann auf Mitglied hinzufügen klicken. Beachten Sie auch, dass dies nur bei einer Neuinstallation des Gatekeepers verfügbar ist.
Klicken Sie auf Weiter.
Wenn Domänenadministratoren im Bereich dieser Installation enthalten sind, muss die Administratorregistrierung konfiguriert werden. Wenn Sie möchten, dass Domänenadministratoren sich registrieren können, setzen Sie ein Häkchen in das entsprechende Feld. Klicken Sie auf Weiter.
Wenn Ihre Organisation einen Forward-Proxy-Server verwendet, um den Internetverkehr extern zu leiten, werden Sie aufgefordert, den Proxy-Server so zu konfigurieren, dass der Gatekeeper das Internet erreichen kann. Andernfalls überspringt der Installationsassistent diesen Schritt.
Geben Sie den Aktivierungscode von der Gatekeeper-Download-Seite im Specops Authentication Web ein und klicken Sie auf Aktivieren.
Sie erhalten eine Nachricht, dass der Gatekeeper erfolgreich konfiguriert und aktiviert wurde.
Klicken Sie auf Fertigstellen.
Überprüfen Sie, ob der Cloud-Verbindungsstatus im Abschnitt Kommunikationseinstellungen Verbunden anzeigt.

Domänenüberprüfung

Um E-Mail-Benachrichtigungen zu aktivieren, müssen Sie alle mit diesem Konto verbundenen Domänen überprüfen. Lesen Sie mehr über die Domänenüberprüfung.

Installation des Specops Clients

Der Specops Client wird mit einem MSI-basierten Installer installiert. Beachten Sie, dass ein Upgrade des Specops Clients den installierten Client überschreibt.

Wenn installiert, kann der Specops Client in „Programme hinzufügen/entfernen“ oder „Programme und Funktionen“ in der Windows-Systemsteuerung gefunden werden. Versionen und Veröffentlichungen können variieren.

Hinweis

Ältere Versionen des Specops Clients können als „Specops uReset Client“ oder „Specops Password Client“ identifiziert werden.

Der Specops Client kann in den folgenden Specops Software-Produkten verwendet werden:

Specops Password Reset
Specops Password Policy
Specops uReset

Upgrade des Specops Clients

Organisationen, die nur Specops Password Policy verwenden, müssen das Specops Client MSI bereitstellen. Das CefSharp Runtime MSI ist für dieses Szenario nicht erforderlich.

Organisationen, die Specops uReset oder Specops Password Reset verwenden, müssen zusätzlich zum Specops Client MSI das CefSharp Runtime MSI bereitstellen. Das CefSharp Runtime MSI wird vom gesicherten Browser benötigt, der zum Zurücksetzen von Passwörtern verwendet wird.

Da der Specops Client eine spezifische Version des CefSharp Runtime MSI verwendet, ist es wichtig, das neueste CefSharp Runtime MSI gleichzeitig oder vor der Bereitstellung des Specops Client MSI bereitzustellen.

Während das Specops Client MSI nur mit genau 1 Version installiert werden kann, können mehrere Versionen des CefSharp Runtime MSI gleichzeitig installiert werden. Der Zweck davon ist es, die Bereitstellung in einer größeren Organisation zu vereinfachen.

Der empfohlene Ablauf für das Upgrade des Specops Clients ist:

Stellen Sie das neueste CefSharp Runtime MSI bereit, wenn es noch nicht bereitgestellt ist
Stellen Sie das neueste Specops Client MSI bereit
Entfernen Sie alle vorherigen Versionen des CefSharp Runtime MSI, falls erforderlich
Laden Sie die administrativen (ADMX) Vorlagen herunter und aktualisieren Sie sie, um die neueste Version zu haben. In den meisten Fällen sind keine Konfigurationsänderungen erforderlich, es sei denn, dies wird in den Versionshinweisen ausdrücklich angegeben. Siehe den Abschnitt unten über die Konfiguration des Specops Clients.

Hinweis

Bei Verwendung des Specops Clients in Verbindung mit einem Passwortzurücksetzungstool:

Die neueste Version des CefSharp-Browser-Runtime ist erforderlich, wenn Specops uReset/Specops Password Reset verwendet wird (Kunden, die nur Specops Password Policy verwenden, benötigen die CefSharp-Browser-Runtime nicht). Es wird empfohlen, die CefSharp-Browser-Runtime vor dem Specops Client selbst bereitzustellen.

Das Installations-/Upgrade-Verhalten für die CefSharp-Browser-Runtime wurde geändert. Die Installation einer neueren CefSharp-Runtime ersetzt nicht mehr die ältere installierte Runtime. Stattdessen können mehrere CefSharp-Browserversionen koexistieren. Die Absicht ist, in einer Organisation eine Einführung durchführen zu können, bei der der neue CefSharp-Browser zuerst bereitgestellt wird. Sobald er bereitgestellt ist, kann der Specops Client aktualisiert werden. Dies erleichtert es, sicherzustellen, dass der Specops Client auf allen Computern während eines Upgrades funktioniert, unabhängig davon, ob die neueste CefSharp-Browser-Runtime bereits bereitgestellt wurde oder nicht.

Der Specops Client muss auf den Client-Computern der Organisation installiert werden, entweder durch manuelle Installation oder durch Bereitstellung mit einem Bereitstellungstool.

Herunterladen des Specops Clients

Laden Sie das MSI direkt von der Download-Seite herunter. Benutzer, die Specops Password Policy installieren, können auch über den Abschnitt Client-Installationsdateien herunterladen des Password Policy-Installers auf die Download-Seite zugreifen.

Bereitstellung des Specops Clients

Um den Specops Client für alle Benutzer bereitzustellen, verwenden Sie GPSI, Specops Deploy/App oder ein anderes Bereitstellungstool. Der Specops Client unterstützt die stille Installation bei der Bereitstellung mit einem Bereitstellungstool. Das Client MSI kann mit den Standard-MSI-Schaltern (z.B. /qn) still bereitgestellt werden. Es gibt keine Specops-Befehlszeilenparameter für die MSI-Installation.

Manuelle Installation oder Upgrade des Specops Clients

Öffnen Sie den Specops Client Setup-Assistenten, den Sie gerade heruntergeladen haben (.msi-Datei)
Klicken Sie im Assistenten auf Weiter.
Akzeptieren Sie die Lizenzvereinbarung, indem Sie das Kontrollkästchen aktivieren, und klicken Sie auf Weiter.
Wählen Sie den Ort aus, an dem der Client installiert werden soll (Standardpfad ist C:\Program Files\Specopssoft\Specops Client\), und klicken Sie dann auf Weiter.
Klicken Sie auf Installieren.
Sobald die Installation abgeschlossen ist, klicken Sie auf Fertigstellen.

Konfiguration des Specops Clients

Der Specops Client kann mit der administrativen Vorlage in der Gruppenrichtlinien-Verwaltungskonsole konfiguriert werden. Für weitere Informationen zur Konfiguration siehe die Specops Client-Seite.

Installation von NPS für Secure Access

Organisationen mit Benutzern, die remote über ein VPN auf ihr Netzwerk zugreifen oder über ein Remote Desktop Gateway (RDGW) auf Computer zugreifen, können ihre Benutzer schützen, indem sie einen zweiten Faktor für diese Anmeldungen hinzufügen. Der VPN-Server oder das Remote Desktop Gateway kann mit RADIUS so konfiguriert werden, dass es den Microsoft Network Policy Server (NPS) mit installiertem und konfiguriertem Specops NPS Companion aufruft, was die Verwendung von Secure Access ermöglicht.

Damit dies funktioniert, muss Microsoft NPS installiert sein. Für weitere Informationen zur Installation von NPS siehe diese Seite.

Installation des Specops NPS Companion

NPS arbeitet in Verbindung mit Specops NPS Companion. NPS Companion muss separat installiert werden.

Sie können den Installer hier herunterladen.