Authentication Client- Specops uReset 8

HINWEIS
Authentication Client erfordert eine Installation bzw. stille Bereitstellung. Sie können die Installationsdateien hier herunterladen. Für die Verbreitung sind keine Konfigurationen oder msi-Parameter erforderlich.

Specops Authentication Client kann über die Verwaltungsvorlage in der Gruppenrichtlinien-Verwaltungskonsole konfiguriert werden.

Specops Authentication Client verwendet ADMX-Dateien zur Änderung der Einstellungen in der Windows-Registry, um zu bestimmen, wie die Software mit dem Betriebssystem interagiert. ADMX-Vorlagen sind XML-basierte Dateien für Windows-Gruppenrichtlinieneinstellungen, die angeben, welche Registry-Schlüssel in der Windows-Registry geändert werden, wenn eine bestimmte Gruppenrichtlinieneinstellung geändert wird (ADML-Dateien sind die lokalisierten XML-Dateien, die die mit den ADMX-Dateien verbundenen Textzeichenfolgen enthalten).

ADMX-Vorlagen können zum Ändern zahlreicher Registry-Schlüssel verwendet werden, aber dieses Dokument konzentriert sich insbesondere auf zwei Einstellungen im Zusammenhang mit Specops Authentication Client: Erstellen der Startmenü-Verknüpfung und Ein-/Ausblenden des Links zum Zurücksetzen des Kennworts auf der Anmeldeseite.

Zugriff auf die Specops ADMX-Vorlagen

Um auf die mit Specops Authentication Client verbundenen ADMX-Vorlagen zuzugreifen:

  1. Öffnen Sie das Tool zur Verwaltung der Gruppenrichtlinien (GPMC).
  2. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt (GPO), das Sie ändern möchten, und wählen Sie Bearbeiten.
  3. Navigieren Sie im Verzeichnisbaus zu Computerkonfiguration > Richtlinien > Administrative Vorlagen: Richtliniendefinitionen (ADMX-Dateien) > Specops Authentication Client . Dort finden Sie alle ADMX-Vorlagen, die mit Specops Authentication Client in Verbindung stehen.

Ausblenden des Links zum Zurücksetzen des Kennworts auf der Anmeldeseite

Ort: Verbessern der Windows-Anmeldung und Kennwortänderung > Anzeigen des Links zum Zurücksetzen des Kennworts

Bei der Windows-Anmeldung können Benutzer in Organisationen, die Specops uReset oder Specops Password Reset verwenden, über den Link "Kennwort zurücksetzen" unter den Feldern "Benutzername/Kennwort" ihr Kennwort zurücksetzen. Mit dieser Einstellung können Sie den zum Zurücksetzen des Kennworts auf der Windows-Anmeldeseite angezeigten Link ein- oder ausblenden.

  1. Öffnen Sie die Datei Link zum Zurücksetzen des Kennworts anzeigen.
  2. Wählen Sie das Optionsfeld Deaktiviert.
  3. Klicken Sie auf OK.
    HINWEIS
    Um diese Einstellung wieder zu aktivieren, können Sie den Wahlknopf entweder auf Nicht konfiguriert oder Aktiviert setzen.
    Alt-Text für dieses Bild

Erstellung von Startmenü-Verknüpfungen

Ort:Allgemeine Client-Einstellungen > Startmenü-Verknüpfungen zum Anmelden/Ändern/Zurücksetzen erstellen

Wenn Specops Authentication Client installiert ist, werden bei der Anmeldung eines Benutzers bei Windows Verknüpfungen im Startmenü zum Registrieren, Zurücksetzen und Ändern des Kennworts erstellt. Dies sind bequeme Abkürzungen für Benutzer, um Specops uReset oder Specops Password Reset einfach zu verwenden. Mit dieser Einstellung können Sie diese Verknüpfungen ausblenden, wenn sie nicht angezeigt werden sollen. Wenn diese Verknüpfungen bereits auf einem Computer erstellt wurden, werden sie bei der nächsten Anmeldung verborgen, wenn sie auf deaktiviert gesetzt wurden.

Das Registrieren, Zurücksetzen und Ändern des Kennworts haben jeweils eine eigene Vorlagedatei. Der Ablauf ist bei allen drei Varianten gleich. Diese Dateien heißen:

  • Startmenü-Verknüpfung für Registrierung erstellen
  • Startmenü-Verknüpfung für Zurücksetzen erstellen
  • Startmenü-Verknüpfungen für Kennwortänderung erstellen
  1. Öffnen Sie die Datei, für die Sie das Verhalten ändern möchten (siehe Liste mit allen Dateien oben).
  2. Wählen Sie das Optionsfeld Deaktiviert.
  3. Klicken Sie auf OK.
    HINWEIS
    Um diese Einstellung wieder zu aktivieren, können Sie den Wahlknopf entweder auf Nicht konfiguriert oder Aktiviert setzen.
    Alt-Text für dieses Bild

Einen zentralen Speichers für administrative Gruppenrichtlinienvorlagen erstellen

Im zentralen Speicher für Verwaltungsvorlagen können Sie alle Vorlagendateien an einem einzigen Ort auf SYSVOL speichern, von wo aus diese auf jedem Server Ihrer Domain aufgerufen und dargestellt werden können. Zum Erstellen eines zentralen Speichers für administrative Gruppenrichtlinienvorlagen kopieren Sie die Specops uReset Client ADMX/ADML-Dateien von %windir%\PolicyDefinitions.

Kopieren Sie die ADMX-Dateien am besten nach:

[your domain]\sysvol\[Ihre Domain]\Policies\PolicyDefinitions

Kopieren Sie die ADML-Dateien am besten nach:

[Ihre Domain]\sysvol\[Ihre Domain]\Policies\PolicyDefinitions\en-us

Weitere Informationen über den Zentralen Speicher und bewährte Verfahren finden Sie unter: www.support.microsoft.com/kb/929841

Hilfe bei der Installation des Produkts und des Clients finden Sie im Abschnitt Installation.

Die passenden Downloads finden Sie im Abschnitt Downloads.

Dynamische Feedback-Schnittstelle

HINWEIS
Die dynamische Feedback-Benutzeroberfläche erfordert Windows 10 oder höher oder Windows Server 2016
HINWEIS
Die dynamische Rückmeldung bei Kennwortänderung wird nicht unterstützt, wenn die Gruppenrichtlinien-Einstellung "Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen" auf Aktiviert gesetzt ist.

Specops Secured Browser (Cefsharp)

Der Specops Secured Browser dient zum Zurücksetzen von Kennwörtern durch den Nutzer auf dem Windows-Anmeldebildschirm. Er existiert in zwei Varianten, die auf CefSharp bzw. dem Internet Explorer basieren. Für mehr Sicherheit und Benutzerfreundlichkeit wird der CefSharp-basierte Secured Browser empfohlen.

Zur Verwendung des CefSharp-basierten Secured Browsers muss die Specops Authentication Client-CefSharp-Laufzeitumgebung implementiert werden. Diese Laufzeitumgebung wurde von Specops auf Kompatibilität mit dem Secured Browser getestet und ist eine vom Specops Authentication Client getrennte MSI.

HINWEIS
Falls die CefSharp-Laufzeitumgebung nicht installiert ist, wird eine Fehlermeldung angezeigt, wenn Sie versuchen, ein Kennwort über den Windows-Anmeldebildschirm zurückzusetzen, indem Sie auf den Link 'Kennwort zurücksetzen...' klicken. Es ist möglich, den Internet Explorer als Browser zu erzwingen, davon wird aber dringend abgeraten.

Nutzung

Der CefSharp-basierte Browser unterstützt Specops uReset 8 und Specops Password Reset. Organisationen, die noch nicht zu Specops uReset 8 migriert haben, müssen den Internet Explorer-basierten Secured Browser verwenden und sollten daher die MSI für Specops WebView2 Runtime nicht einsetzen.

Organisationen, die Specops uReset 8 oder Specops Password Reset nutzen

Diese sollten die Specops Authentication Client-CefSharp-Laufzeitumgebung auf x64 Windows 10- oder neueren Client-Computern einsetzen.

Organisationen, die Specops uReset 7 nutzen

Diese sollten auf Specops uReset 8 aufrüsten. Wenn dies derzeit nicht möglich ist, muss der IE-basierte Browser in den ADMX-Einstellungen erzwungen werden ("IE-basierten sicheren Browser erzwingen"). Der Einsatz der Specops Authentication Client-CefSharp Runtime ist dann nicht erforderlich (wird nicht unterstützt).

Organisationen, die nur Specops Password Policy verwenden

Wenn keine Reset-Lösung verwendet wird, ist die Installation der Specops Authentication Client-CefSharp-Laufzeitumgebung nicht erforderlich (nicht anwendbar).

Specops Authentication Client für uReset für über Azure AD eingebundene Computer nutzen

Nachstehend wird die Konfiguration von Specops Authentication Client für uReset für über Azure AD eingebundene Computer beschrieben.

Installieren des Clients

Laden Sie die Specops Authentication Client MSI herunter und implementieren Sie sie auf den Client-Computern (weitere Informationen zur Installation des Client finden Sie in der Installationsanleitung). Beispielsweise kann Microsoft Intune für die Implementierung verwendet werden.

Den Client konfigurieren

Für die Verwendung von Specops uReset ist eine Reihe von Registry-Einstellungen auf den Client-Computern erforderlich. Obwohl diese manuell ausgeführt werden können, wird empfohlen, Intune für die Implementierung zu verwenden.

Administrative Vorlagen (ADMX) herunterladen/importieren

Laden Sie die ADMX-Vorlagen für Specops Authentication Client herunter. Bitte beachten Sie, dass es zwei Arten von ADMX-Vorlagen gibt. Für über Azure AD eingebundene Computer nutzen Sie bitte Specops.Client.AzureAdJoinedComputer.AdmxTemplates.zip.

Importieren sie die admx/adml-Dateien in Intune, siehe Benutzerdefinierte ADMX- und ADML-Vorlagen in Microsoft Intune importieren (https://learn.microsoft.com/en-us/mem/intune/configuration/administrative-templates-import-custom).

"Kennwort ändern" in Windows deaktivieren

Um Benutzern beim Ändern von Kennwörtern ein besseres Erlebnis mitsamt einer Rückmeldung darüber zu bieten, ob die Regeln für Kennwortänderungen erfüllt sind, während sie das neue Kennwort eingeben, wird empfohlen, die integrierte Schnittstelle von Windows zur Kennwortänderung zu deaktivieren und Benutzer anzuleiten, stattdessen Specops uReset zu verwenden.

Um die integrierte Schnittstelle von Windows zur Kennwortänderung mit den Administrativen Vorlagen von Microsoft zu deaktivieren, unternehmen Sie folgende Schritte:

  1. Gehen Sie auf Benutzer-Konfiguration > Administrative Vorlagen > System > Strg+Alt+Entf
  2. Stellen Sie Kennwortänderung entfernen auf Aktiviert
HINWEIS
Bitte beachten Sie, dass die vorstehenden Einstellungen für jeden Benutzer durchgeführt werden müssen.

URLs in uReset konfigurieren

In Specops Gatekeeper Admin Tool sind URLs für die Registrierung, das Zurücksetzen und das Ändern von Kennwörtern enthalten. Diese sollten aus dem Gatekeeper-Verwaltungstool kopiert und hier eingegeben werden:

Computerkonfiguration > Adminstrative Vorlagen > Specops Authentication Client (Azure AD-Computer) > URLs für Specops Authentication

Obwohl empfohlen wird, die URLs mithilfe von ADMX-Vorlagen zu konfigurieren, können sie optional im Register konfiguriert werden:

Registry-SchlüsselParameter
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Urls]"Enroll"=https://login.specopssoft.com/Authentication/Enroll/?domainName=acme.org
"Reset"=https://login.specopssoft.com/Authentication/Password/Reset?domainName=acme.org
"Change"=https://login.specopssoft.com/Authentication/Password/Change?domainName=acme.org

Startmenü-Verknüpfungen konfigurieren

Angemeldeten Benutzern stehen drei Menü-Verknüpfungen zur Verfügung (Registrieren, Kennwort zurücksetzen und Passwort ändern). Diese drei Menüs werden erstellt, wenn sich der Benutzer anmeldet.

Standardmäßig erhält der Benutzer alle drei Verknüpfungen. Aktivieren oder deaktivieren Sie die nachstehenden Einstellungen nach Bedarf, um den Benutzern nur einen Teil der Verknüpfungen anzuzeigen. Eine typische Konfiguration könnte darin bestehen, die Verknüpfung für das Zurücksetzen des Kennworts zu verbergen, die Verknüpfungen für Kennwortänderung und Registrierung jedoch verfügbar zu machen.

Die Verknüpfungen, die beim Anmelden des Benutzers erstellt werden, können angepasst werden unter:

Computerkonfiguration > Adminstrative Vorlagen > Specops Authentication Client (Azure AD-Computer) > Allgemeine Einstellungen für Specops Authentication Client

  • Startmenü-Verknüpfung für Registrierung erstellen
  • Startmenü-Verknüpfung für Zurücksetzen erstellen
  • Startmenü-Verknüpfungen für Kennwortänderung erstellen

Obwohl empfohlen wird, die URLs mithilfe von ADMX-Vorlagen zu konfigurieren, können sie optional im Register konfiguriert werden (1 zum Erstellen der Verknüpfung, 2, wenn die Verknüpfung nicht erstellt werden soll):

Registry-SchlüsselParameter
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Settings]"CreateStartMenuShortcutEnroll"=dword:00000001
"CreateStartMenuShortcutReset"=dword:00000001
"CreateStartMenuShortcutChange"=dword:00000001

Konfiguration für über Azure AD eingebundene Computer

Der Specops Authentication Client läuft standardmäßig auf lokalen, über Active Directory eingebundenen Computern und setzt voraus, dass ein Domain-Controller erreichbar ist, damit die Startmenü-Verknüpfungen (Registrieren, Passwort zurücksetzen und Passwort ändern) funktionieren. Unternehmen Sie folgenden Schritte, um die Startmenü-Verknüpfungen auf Azure AD-Computern verfügbar zu machen:

  1. Gehen Sie auf Computerkonfiguration > Administrative Vorlagen > Specops Authentication Client (Azure AD-Computer) > Allgemeine Einstellungen für Specops Authentication Client
  2. Stellen Sie Aktivierte Verknüpfungen für über die Cloud eingebundene Computer auf Aktiviert

Obwohl empfohlen wird, die URLs mithilfe von ADMX-Vorlagen zu konfigurieren, können sie optional im Register konfiguriert werden:

Registry-SchlüsselParameter
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Settings]"AllowShortcutsWithoutOnpremDomain"=dword:00000001