Specops Authentifizierungs-Client
Hinweis
Der Specops Client erfordert Installation/stille Bereitstellung. Sie können die Installationsdateien hier herunterladen: Download. Es sind keine Konfigurationen oder msi-Parameter für die Einführung erforderlich.
Specops Client kann mit der administrativen Vorlage in der Gruppenrichtlinien-Verwaltungskonsole konfiguriert werden.
Specops Client verwendet ADMX-Dateien, um die Windows-Registrierungseinstellungen zu ändern und die Interaktion der Software mit der Systemsoftware zu ändern. ADMX-Vorlagen sind XML-basierte Windows-Gruppenrichtlinieneinstellungen, die angeben, welche Registrierungsschlüssel in der Windows-Registrierung geändert werden, wenn eine bestimmte Gruppenrichtlinieneinstellung geändert wird (ADML-Dateien sind die lokalisierten XML-Dateien, die die mit den ADMX-Dateien verbundenen Textzeichenfolgen enthalten).
ADMX-Vorlagen können verwendet werden, um zahlreiche Registrierungsschlüssel zu ändern, aber dieses Dokument konzentriert sich auf zwei Einstellungen, die speziell mit Specops Client verbunden sind: Erstellen der Startmenüverknüpfung; und Anzeigen/Verbergen des Passwort-zurücksetzen-Links auf der Anmeldeseite.
Zugriff auf die Specops ADMX-Vorlagen
Um auf die mit Specops Client verbundenen ADMX-Vorlagen zuzugreifen:
- Öffnen Sie das Gruppenrichtlinien-Verwaltungstool (GPMC).
- Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt (GPO), das Sie ändern möchten, und wählen Sie Bearbeiten.
- Navigieren Sie in der Baumansicht zu Computerkonfiguration > Richtlinien > Administrative Vorlagen: Richtliniendefinitionen (ADMX-Dateien) > Specops Client. Dort finden Sie alle mit Specops Client verbundenen ADMX-Vorlagen.
Verbergen des Passwort-zurücksetzen-Links auf der Anmeldeseite
Ort: Windows-Anmeldung und Passwortänderung verbessern > Passwort-zurücksetzen-Link anzeigen
Bei der Windows-Anmeldung ermöglicht ein „Passwort zurücksetzen…“-Link unter den Benutzername/Passwort-Feldern Benutzern in Organisationen, die Specops uReset oder Specops Password Reset verwenden, ihre Passwörter zurückzusetzen. Diese Einstellung ermöglicht es Ihnen, den Passwort-zurücksetzen-Link auf der Windows-Anmeldeseite anzuzeigen oder zu verbergen.
- Öffnen Sie die Datei Passwort-zurücksetzen-Link anzeigen.
- Wählen Sie die Option Deaktiviert.
-
Klicken Sie auf OK.
Hinweis
um die Einstellung wieder zu aktivieren, können Sie die Option auf entweder Nicht konfiguriert oder Aktiviert setzen.
Erstellung der Startmenüverknüpfung
Ort: Allgemeine Client-Einstellungen > Startmenüverknüpfungen zum Registrieren/Ändern/Zurücksetzen erstellen
Mit installiertem Specops Client werden beim Anmelden eines Benutzers bei Windows Startmenüverknüpfungen zum Registrieren, Zurücksetzen und Ändern des Passworts erstellt. Diese sind praktische Verknüpfungen für Benutzer, um Specops uReset oder Specops Password Reset einfach zu verwenden. Diese Einstellung ermöglicht es Ihnen, diese Verknüpfungen zu verbergen, falls sie nicht angezeigt werden sollen. Wenn diese Verknüpfungen bereits auf einem Computer erstellt wurden, werden sie beim nächsten Anmelden entfernt, wenn diese Einstellung auf deaktiviert gesetzt wurde.
Registrieren, Zurücksetzen und Passwort ändern haben jeweils ihre eigene Vorlagendatei. Das untenstehende Verfahren ist für alle drei gleich. Die Dateien sind wie folgt benannt:
- Startmenüverknüpfung zum Registrieren erstellen
- Startmenüverknüpfung zum Passwort-zurücksetzen erstellen
- Startmenüverknüpfung zum Passwort-ändern erstellen
- Öffnen Sie die Datei, für die Sie das Verhalten ändern möchten (siehe die Liste der Dateien oben).
- Wählen Sie die Option Deaktiviert.
-
Klicken Sie auf OK.
Hinweis
um die Einstellung wieder zu aktivieren, können Sie die Option auf entweder Nicht konfiguriert oder Aktiviert setzen.
Erstellen eines zentralen Speichers für Gruppenrichtlinien-Verwaltungsvorlagen
Der zentrale Speicher für Verwaltungsvorlagen ermöglicht es Ihnen, alle Vorlagendateien an einem einzigen Ort auf SYSVOL zu speichern, wo sie von jedem Server Ihrer Domäne aus zugänglich und darstellbar sind. Um einen zentralen Speicher für Gruppenrichtlinien-Verwaltungsvorlagen zu erstellen, kopieren Sie die Specops uReset Client ADMX/ADML-Dateien von %windir%\PolicyDefinitions.
Die ADMX sollte kopiert werden nach:
[your domain]\sysvol\[your domain]\Policies\PolicyDefinitions
Die ADML sollte kopiert werden nach:
[your domain]\sysvol\[your domain]\Policies\PolicyDefinitions\en-us
Für weitere Informationen über den zentralen Speicher und bewährte Verfahren besuchen Sie: www.support.microsoft.com/kb/929841
Für Hilfe bei der Installation des Produkts und des Clients, siehe bitte den Installationsabschnitt.
Für Downloads, siehe bitte den Download-Bereich.
Dynamische Feedback-Benutzeroberfläche
Hinweis
Das dynamische Feedback bei der Passwortänderung wird nicht unterstützt, wenn die Gruppenrichtlinieneinstellung "Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen" auf Aktiviert gesetzt ist.
Hinweis
Das dynamische Feedback bei der Passwortänderung wird nicht unterstützt, wenn mit RSA SecurID authentifiziert wird.
Specops Gesicherter Browser (Cefsharp)
Der Specops Gesicherte Browser wird verwendet, um Passwörter für einen Benutzer vom Windows-Anmeldebildschirm aus zurückzusetzen. Er kommt in zwei Varianten, basierend auf den Browser-Engines CefSharp und Internet Explorer. Es wird empfohlen, den auf CefSharp basierenden gesicherten Browser für bessere Sicherheit und Benutzererfahrung zu verwenden.
Um den auf CefSharp basierenden gesicherten Browser zu verwenden, muss die Specops Client CefSharp-Laufzeitumgebung bereitgestellt werden. Die Laufzeitumgebung wurde von Specops getestet, um mit dem gesicherten Browser kompatibel zu sein, und ist ein separates MSI vom Specops Client.
Hinweis
Wenn die CefSharp-Laufzeitumgebung nicht installiert ist, wird eine Fehlermeldung angezeigt, wenn versucht wird, ein Passwort vom Windows-Anmeldebildschirm aus zurückzusetzen, indem der 'Passwort zurücksetzen...' Link gedrückt wird. Es ist möglich, die Verwendung des auf Internet Explorer basierenden Browsers zu erzwingen, aber stark nicht empfohlen.
Verwendung
Der auf CefSharp basierende Browser unterstützt Specops uReset 8 und Specops Password Reset. Organisationen, die noch nicht auf Specops uReset 8 migriert sind, müssen den auf Internet Explorer basierenden gesicherten Browser verwenden und sollten daher das MSI für die Specops CefSharp-Laufzeitumgebung nicht bereitstellen.
Organisationen, die Specops uReset 8 oder Specops Password Reset verwenden
Es wird empfohlen, die Specops Client CefSharp-Laufzeitumgebung auf x64 Windows 10 oder neueren Client-Computern bereitzustellen.
Organisationen, die nur Specops Password Policy verwenden
Wenn keine Zurücksetzungslösung verwendet wird, besteht keine Notwendigkeit, die Specops Client CefSharp-Laufzeitumgebung bereitzustellen (nicht anwendbar).
Verwendung des Specops Clients für uReset auf Microsoft Entra ID-verbundenen Computern
Die folgende Anleitung beschreibt, wie der Specops Client für uReset auf Microsoft Entra ID-verbundenen Computern konfiguriert wird.
Installation des Clients
Laden Sie das Specops Client MSI herunter und stellen Sie es auf Client-Computern bereit (für weitere Informationen zur Installation des Clients siehe bitte den Installationsleitfaden. Zum Beispiel kann Microsoft Intune für die Bereitstellung verwendet werden.
Konfiguration des Clients
Um Specops uReset zu verwenden, sind einige Registrierungseinstellungen auf Client-Computern erforderlich. Während diese manuell angewendet werden können, wird empfohlen, Intune zu verwenden, um sie bereitzustellen.
Herunterladen/Importieren von Verwaltungsvorlagen (ADMX)
Laden Sie ADMX-Vorlagen für Specops Client herunter. Beachten Sie, dass es zwei Varianten der ADMX-Vorlagen gibt. Für Microsoft Entra ID-verbundene Computer verwenden Sie Specops.Client.AzureAdJoinedComputer.AdmxTemplates.zip.
Importieren Sie die admx/adml-Dateien in Intune, siehe Benutzerdefinierte ADMX- und ADML-Verwaltungsvorlagen in Microsoft Intune importieren.
Hinweis
Die Specops ADMX hat eine Abhängigkeit von Microsofts ADMX-Vorlagen. Importieren Sie windows.admx/windows.adml aus Microsofts neuesten ADMX-Vorlagen, bevor Sie die Specops ADMX-Vorlagen importieren.
Deaktivieren von "Passwort ändern" in Windows
Um eine bessere Benutzererfahrung für Benutzer zu bieten, die Passwörter ändern und Feedback zu erfüllten Passwort-Richtlinienregeln beim Eingeben des neuen Passworts erhalten, wird empfohlen, die integrierte Passwortänderungsschnittstelle von Windows zu deaktivieren und Benutzer zu beraten, stattdessen Specops uReset zu verwenden.
Um die integrierte Passwortänderungsschnittstelle von Windows mit Microsofts Verwaltungsvorlagen zu deaktivieren, gehen Sie wie folgt vor:
- Gehen Sie zu Benutzerkonfiguration > Administrative Vorlagen > System > Strg+Alt+Entf-Optionen
- Setzen Sie Passwort ändern entfernen auf Aktiviert
Hinweis
Beachten Sie, dass das oben Genannte eine pro-Benutzer-Einstellung ist.
Konfiguration von URLs zu uReset
Im Specops Gatekeeper Admin Tool können URLs für Registrierung, Passwort-zurücksetzen und Passwort-ändern gefunden werden. Diese sollten aus dem Gatekeeper Admin Tool kopiert und unter eingegeben werden:
Computerkonfiguration > Administrative Vorlagen > Specops Client (Microsoft Entra ID-Computer) > URLs zu Specops Authentication
Während es empfohlen wird, die URLs mit ADMX-Vorlagen zu konfigurieren, können sie optional in der Registrierung konfiguriert werden:
| Registrierungsschlüssel | Parameter |
|---|---|
| [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Urls] | "Enroll"=https://login.specopssoft.com/Authentication/Enroll/?domainName=acme.org"Reset"=https://login.specopssoft.com/Authentication/Password/Reset?domainName=acme.org"Change"=https://login.specopssoft.com/Authentication/Password/Change?domainName=acme.org |
Konfiguration von Startmenüverknüpfungen
Als angemeldeter Benutzer stehen drei Startmenüverknüpfungen zur Verfügung (Registrieren, Passwort-zurücksetzen und Passwort-ändern). Diese werden erstellt, wenn sich der Benutzer anmeldet.
Standardmäßig erhält der Benutzer alle drei Verknüpfungen. Um nur eine Teilmenge der Verknüpfungen anzuzeigen, aktivieren oder deaktivieren Sie die untenstehenden Einstellungen nach Bedarf. Eine typische Konfiguration könnte beispielsweise sein, die Passwort-zurücksetzen-Verknüpfung zu verbergen, aber die Passwort-ändern- und die Registrierungsverknüpfungen verfügbar zu machen.
Welche Verknüpfungen erstellt werden, wenn sich der Benutzer anmeldet, kann unter angepasst werden:
Computerkonfiguration > Administrative Vorlagen > Specops Client (Microsoft Entra ID-Computer) > Allgemeine Einstellungen für Specops Client allgemeine Einstellungen
- Startmenüverknüpfung zum Registrieren erstellen
- Startmenüverknüpfung zum Passwort-zurücksetzen erstellen
- Startmenüverknüpfung zum Passwort-ändern erstellen
Während es empfohlen wird, die URLs mit ADMX-Vorlagen zu konfigurieren, können sie optional in der Registrierung konfiguriert werden (1, um die Verknüpfung zu erstellen, 0, um sie nicht zu erstellen):
| Registrierungsschlüssel | Parameter |
|---|---|
| [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Settings] | "CreateStartMenuShortcutEnroll"=dword:00000001 "CreateStartMenuShortcutReset"=dword:00000001 "CreateStartMenuShortcutChange"=dword:00000001 |
Konfiguration für Microsoft Entra ID-verbundene Computer
Der Specops Client arbeitet standardmäßig auf lokal verbundenen Active Directory-Computern und geht davon aus, dass ein Domänencontroller erreichbar ist, damit die Startmenüverknüpfungen (Registrieren, Passwort-zurücksetzen und Passwort-ändern) funktionieren. Um die Startmenüverknüpfungen auf Microsoft Entra ID-Computern zu verwenden, gehen Sie wie folgt vor:
- Gehen Sie zu Computerkonfiguration > Administrative Vorlagen > Specops Client (Microsoft Entra ID-Computer) > Allgemeine Einstellungen für Specops Client allgemeine Einstellungen
- Setzen Sie Verknüpfungen für cloudverbundene Computer aktivieren auf Aktiviert
Während es empfohlen wird, die URLs mit ADMX-Vorlagen zu konfigurieren, können sie optional in der Registrierung konfiguriert werden:
| Registrierungsschlüssel | Parameter |
|---|---|
| [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Settings] | "AllowShortcutsWithoutOnpremDomain"=dword:00000001 |
Client-Konfiguration für Secure Access
Der Specops Client muss auf allen Computern installiert sein, die Secure Access zum Anmelden verwenden. Da es wichtig ist, dass der Specops Client auf diesen Computern nicht deinstalliert wird, dürfen einzelne Benutzer nicht berechtigt sein, den Specops Client zu deinstallieren (zum Beispiel, indem sie keine lokalen Administratorrechte erhalten). Wir empfehlen dringend, die Deinstallationen des Specops Clients zu überwachen. Um den Specops Client bereitzustellen, wird empfohlen, ein Bereitstellungssystem wie GPSI oder Specops Deploy zu verwenden.
Computer müssen mit Active Directory verbunden sein. Benutzer in Active Directory können mit MFA geschützt werden. Lokale Benutzer werden nicht unterstützt.
Jeder Client-Computer muss mit obligatorischen Einstellungen versehen werden, die sich in der Registrierung befinden. Es wird empfohlen, ADMX-Vorlagen zu verwenden.
ADMX-Einstellungen
Obligatorische Einstellungen
- Specops Authentication API URL
- Specops Authentication API Key
Optionale Einstellungen
- Zeit vor der erneuten Anforderung von MFA nach erfolgreicher Online-Authentifizierung
- Offline-Authentifizierung erlauben
- MFA für lokale Anmeldungen aktivieren
- MFA für Remote-Anmeldungen aktivieren
Für weitere Informationen zu ADMX-Vorlagen siehe den Abschnitt oben auf dieser Seite.