Administrator-Registrierung
Specops Authentication ermöglicht Administratoren, Benutzer im System zu registrieren, ohne dass die Benutzer den Registrierungsprozess durchlaufen müssen. Dies kann mit jedem Identitätsdienst erreicht werden, der Identifikationsinformationen im Active Directory gespeichert hat.
- Bevor Sie diesen Leitfaden verwenden, benötigen Sie:
- Grundkenntnisse in PowerShell
- PowerShell 4.0 oder höher
- Das Produkt Specops Authentication, konfiguriert mit einem aktiven Gatekeeper
- Mitgliedschaft in der Admin-Gruppe für das Produkt Specops Authentication
- Das PowerShell-Modul für das Produkt Specops Authentication, installiert mit den Verwaltungstools
C:\Windows\System32\WindowsPowerShell\v1.0\Modules\Specops.Authentication.Gatekeeper.Admin
Identitätsdienste für die Registrierung
Administratoren können sich mit den folgenden Identitätsdiensten registrieren:
- Persönliche E-Mail
- Mobiler Code
- Sicherheitsfragen
- Yubikey
- Mobile Bank ID
Cmdlets
Die Cmdlets können von Administratoren verwendet werden, um Benutzer zu verwalten oder sie in Chargen in Specops Authentication für Specops Authentication zu registrieren.
Um das Modul zu importieren, führen Sie den folgenden Befehl in PowerShell auf Ihrem Gatekeeper-Server aus:
Add-SpecopsAuthenticationIdentityServiceEnrollment
Nimmt die Parameter Benutzername, IdentityServiceId und EnrollmentProof. Kann verwendet werden, um sich mit allen Identitätsdiensten außer: Sicherheitsfragen, Duo Security, Specops Fingerprint, Authenticatoren, Manager-Identifikation, Symantec VIP, LinkedIn und Windows Identity zu registrieren. Verwenden Sie das Cmdlet Get-SpecopsAuthenticationIdentityServices, um die IdentityServiceId Ihres Identitätsdienstes zu finden.
Verwendungsbeispiel:
Add-SpecopsAuthenticationIdentityServiceEnrollment
-Username mySamAccountName
-IdentityServiceId Google
-EnrollmentProof MyGoogleAccount
Mobiler Code (SMS) Admin-Registrierung
Die Mobiler Code (SMS) Admin-Registrierung erfordert das Aktualisieren des mobilen Attributs im Benutzerobjekt und der Registrierungsdaten im Blattobjekt. Ein Administrator kann das mobile Attribut in einem Benutzerkonto mit dem Active Directory-Verwaltungstool oder mit PowerShell aktualisieren. Wenn Sie das Standardattribut für Mobiltelefone verwenden, verwenden Sie den folgenden Befehl:
Wenn Sie die Mobilnummer in einem benutzerdefinierten Attribut speichern, müssen Sie stattdessen dieses Attribut angeben. Wenn sich die Mobilnummer beispielsweise im otherMobile-Attribut befindet, können Sie den folgenden Befehl verwenden:
Für Gatekeeper Admin Tool 8.23 und später: nach dem Aktualisieren des mobilen Attributs können Sie PowerShell verwenden, um den Nachweis im Blattobjekt hinzuzufügen.
Add-SAMobileCodeEnrollment
-Username jane.doe
-MobileNumber +123
-GatekeeperServer dc02.subaru.local
Add-SpecopsAuthenticationQuestionsEnrollment
Nimmt die Parameter Benutzername, Antworten und Sprache. Sprache ist ein optionaler 2-stelliger Sprachcode. Antworten nimmt ein Array von Fragen und Antworten.
Verwendungsbeispiel:
$questionsAndAnswers =
@{'Question'='Wer bist du?'; 'Answer'='Niemand'},
@{'Question'='Warum bist du hier?'; 'Answer'='Ich bin nicht'}
Add-SpecopsAuthenticationQuestionsEnrollment
–Username mySamAccountName
–Answers $questionsAndAnswers
Get-SpecopsAuthenticationEnrollment
Listet die Identitätsdienste auf, mit denen ein Benutzer registriert ist.
Verwendungsbeispiel:
Get-SpecopsAuthenticationIdentityServices
Listet alle Identitätsdienste auf, die in Ihrem Specops Authentication-Abonnement verfügbar sind.
Verwendungsbeispiel:
Remove-SpecopsAuthenticationEnrollment
Entfernt alle registrierten Identitätsdienste von einem Benutzer, außer automatisch registrierte, wie Windows Identity, Duo Security, Manager-Identifikation oder Symantec VIP.
Verwendungsbeispiel:
Remove-SpecopsAuthenticationIdentityServiceEnrollment
Entfernt eine Identitätsdienstregistrierung von einem Benutzer.
Verwendungsbeispiel: