Authentication Client- Specops uReset 8

HINWEIS
Authentication Client erfordert eine Installation bzw. stille Bereitstellung. Sie können die Installationsdateien hier herunterladen. Für die Verbreitung sind keine Konfigurationen oder msi-Parameter erforderlich.

Specops Authentication Client kann über die administrative Vorlage in der Gruppenrichtlinien-Verwaltungskonsole konfiguriert werden.

Specops Authentication Client verwendet ADMX-Dateien zur Änderung der Einstellungen in der Windows-Registry, um zu bestimmen, wie die Software mit dem Betriebssystem interagiert. ADMX-Vorlagen sind XML-basierte Dateien für Windows-Gruppenrichtlinieneinstellungen, die angeben, welche Registry-Schlüssel in der Windows-Registry geändert werden, wenn eine bestimmte Gruppenrichtlinieneinstellung geändert wird (ADML-Dateien sind die lokalisierten XML-Dateien, die die mit den ADMX-Dateien verbundenen Textzeichenfolgen enthalten).

ADMX-Vorlagen können zum Ändern zahlreicher Registry-Schlüssel verwendet werden, aber dieses Dokument konzentriert sich insbesondere auf zwei Einstellungen im Zusammenhang mit Specops Authentication Client: Erstellen der Startmenü-Verknüpfung und Ein-/Ausblenden des Links zum Zurücksetzen des Kennworts auf der Anmeldeseite.

Zugriff auf die Specops ADMX-Vorlagen

Um auf die mit Specops Authentication Client verbundenen ADMX-Vorlagen zuzugreifen:

  1. Öffnen Sie das Tool zur Verwaltung der Gruppenrichtlinien (GPMC).
  2. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt (GPO), das Sie ändern möchten, und wählen Sie Bearbeiten.
  3. Navigieren Sie im Verzeichnisbaus zu Computerkonfiguration > Richtlinien > Administrative Vorlagen: Richtliniendefinitionen (ADMX-Dateien) > Specops Authentication Client . Dort finden Sie alle ADMX-Vorlagen, die mit Specops Authentication Client in Verbindung stehen.

Ausblenden des Links zum Zurücksetzen des Kennworts auf der Anmeldeseite

Erstellung von Startmenü-Verknüpfungen


Ort:Allgemeine Client-Einstellungen > Startmenü-Verknüpfungen zum Anmelden/Ändern/Zurücksetzen erstellen

Wenn Specops Authentication Client installiert ist, werden bei der Anmeldung eines Benutzers bei Windows Verknüpfungen im Startmenü zum Registrieren, Zurücksetzen und Ändern des Kennworts erstellt. Dies sind bequeme Abkürzungen für Benutzer, um Specops uReset oder Specops Password Reset einfach zu verwenden. Mit dieser Einstellung können Sie diese Verknüpfungen ausblenden, wenn sie nicht angezeigt werden sollen. Wenn diese Verknüpfungen bereits auf einem Computer erstellt wurden, werden sie bei der nächsten Anmeldung verborgen, wenn sie auf deaktiviert gesetzt wurden.

Das Registrieren, Zurücksetzen und Ändern des Kennworts haben jeweils eine eigene Vorlagedatei. Der Ablauf ist bei allen drei Varianten gleich. Diese Dateien heißen:

  • Startmenü-Verknüpfung für Registrierung erstellen
  • Startmenü-Verknüpfung für Zurücksetzen erstellen
  • Startmenü-Verknüpfungen für Kennwortänderung erstellen
  1. Öffnen Sie die Datei, für die Sie das Verhalten ändern möchten (siehe Liste mit allen Dateien oben).
  2. Wählen Sie das Optionsfeld Deaktiviert.
  3. Klicken Sie auf OK.
    HINWEIS
    Um diese Einstellung wieder zu aktivieren, können Sie den Wahlknopf entweder auf Nicht konfiguriert oder Aktiviert setzen.
    Alt text for this image

Einen zentralen Speichers für administrative Gruppenrichtlinienvorlagen erstellen


Im zentralen Speicher für Verwaltungsvorlagen können Sie alle Vorlagendateien an einem einzigen Ort auf SYSVOL speichern, von wo aus diese auf jedem Server Ihrer Domain aufgerufen und dargestellt werden können. Zum Erstellen eines zentralen Speichers für administrative Gruppenrichtlinienvorlagen kopieren Sie die Specops uReset-Client-ADMX/ADML-Dateien von%windir%\PolicyDefinitions.

Kopieren Sie die ADMX-Dateien am besten nach:

[Ihre Domain\sysvol\[Ihre Domain]\Policies\PolicyDefinitions

Kopieren Sie die ADML-Dateien am besten nach:

[Ihre Domain\sysvol\[Ihre Domain]\Policies\PolicyDefinitions\en-us

Weitere Informationen über den Zentralen Speicher und bewährte Verfahren finden Sie unter: www.support.microsoft.com/kb/929841

Hilfe bei der Installation des Produkts und des Clients finden Sie im Abschnitt Installation.

Die passenden Downloads finden Sie im Abschnitt Downloads.

Dynamische Feedback-Schnittstelle


HINWEIS
Die dynamische Rückmeldung bei Kennwortänderung wird nicht unterstützt, wenn die Gruppenrichtlinien-Einstellung "Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen" auf Aktiviert gesetzt ist.

Specops Secured Browser (Cefsharp)


The Specops Secured Browser is used to reset passwords for a user from the Windows logon screen. It comes in two flavors, based on CefSharp and Internet Explorer browser engines, respectively. It is recommended to use the CefSharp-based Secured Browser for better security and user experience.

To use the CefSharp-based Secured Browser, the Specops Authentication Client CefSharp runtime must be deployed. The runtime has been tested by Specops to be compatible with the Secured Browser, and is a separate MSI from the Specops Authentication Client.

NOTE
If the CefSharp runtime isn't installed, an error message will be displayed if attempting to reset a password from the Windows logon screen by pressing the 'Reset Password...' link. It is possible to enforce using the Internet Explorer based browser, but strongly not recommended.

Usage

The CefSharp-based browser supports Specops uReset 8 and Specops Password Reset. Organizations that have not yet migrated to Specops uReset 8 must use the Internet Explorer-based Secured Browser, and should therefore not deploy the MSI for Specops the CefSharp runtime.

Organizations using Specops uReset 8 or Specops Password Reset

It is recommended to deploy the Specops Authentication Client CefSharp runtime on x64 Windows 10 or newer client computers.

Organizations using Specops Password Policy only

If no reset solution is used, there is no need deploy the Specops Authentication Client CefSharp runtime (not applicable).

Using the Specops Authentication Client for uReset on Microsoft Entra ID-joined computers


The guide below describes how to configure the Specops Authentication Client for uReset on Microsoft Entra ID-joined computers.

Installing the Client

Download the Specops Authentication Client MSI and deploy to client computers (for more information on installing the Client, please see the installation guide). For instance, Microsoft Intune can be used for deployment.

Configuring the Client

To use Specops uReset, a few registry settings are required on client computers. While these can be applied manually, it is recommended to use Intune to deploy them.

Downloading/Importing Administrative Templates (ADMX)

Download ADMX templates for Specops Authentication Client. Note that there are two flavors of the ADMX templates. For Microsoft Entra ID-joined computers, use Specops.Client.AzureAdJoinedComputer.AdmxTemplates.zip.

Import the admx/adml files into Intune, see Import custom ADMX and ADML administrative templates into Microsoft Intune (https://learn.microsoft.com/en-us/mem/intune/configuration/administrative-templates-import-custom).

NOTE

The Specops ADMX has a dependency on Microsoft's ADMX templates. Import windows.admx/windows.adml from Microsoft's latest ADMX templates before importing the Specops ADMX templates.

Disabling "Change Password" in Windows

To provide a better user experience for users changing passwords with feedback on password policy rules fulfilled while typing the new password, it is recommended to disable Windows' built-in change password interface, and advise users to use Specops uReset instead.

To disable Windows' built-in change password interface with Microsoft's Administrative templates, do the following:

  1. Go to User Configuration > Administrative Templates > System > Ctrl+Alt+Del Options
  2. Set Remove Change Password to Enabled
NOTE
Note that the above is a per-user setting.

Configuring URLs to uReset

In the Specops Gatekeeper Admin Tool, URLs for enrollment, password reset and password change can be found. These should be copied from Gatekeeper Admin Tool and entered under:

Computer Configuration > Administrative Templates > Specops Authentication Client (Microsoft Entra ID Computers) > URLs to Specops Authentication

While it is recommended to configure the URLs using ADMX templates, they can optionally be configured in registry:

Registry Key Parameters
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Urls] "Enroll"=https://login.specopssoft.com/Authentication/Enroll/?domainName=acme.org
"Reset"=https://login.specopssoft.com/Authentication/Password/Reset?domainName=acme.org
"Change"=https://login.specopssoft.com/Authentication/Password/Change?domainName=acme.org

Configuring start menu shortcuts

As a logged in user, there are three start menu shortcuts available (Enroll, Password Reset and Password Change). These are created when the user logs in.

By default, the user gets all three shortcuts. To show only a subset of the shortcuts, enable or disable the settings below as needed. For instance, a typical configuration could be to hide the password reset shortcut, but make the password change and the enrollment shortcuts available.

Which shortcuts are created when the user logs in can be customized under:

Computer Configuration > Administrative Templates > Specops Authentication Client (Microsoft Entra ID Computers) > General settings for Specops Authentication Client general settings

  • Create start menu shortcut to enroll
  • Create start menu shortcut to password reset
  • Create start menu shortcut to password change

While it is recommended to configure the URLs using ADMX templates, they can optionally be configured in registry (1 to create the shortcut, 0 to not create it):

Registry Key Parameters
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Settings] "CreateStartMenuShortcutEnroll"=dword:00000001
"CreateStartMenuShortcutReset"=dword:00000001
"CreateStartMenuShortcutChange"=dword:00000001

Configuring for Microsoft Entra ID-joined computers

The Specops Authentication Client by default operates on on-prem Active Directory-joined computers and assumes a domain controller to be reachable for the start menu shortcuts (Enroll, Password Reset and Password Change) to work. To use the start menu shortcuts on Microsoft Entra ID computers, do the following:

  1. Go to Computer Configuration > Administrative Templates > Specops Authentication Client (Microsoft Entra ID Computers) > General settings for Specops Authentication Client general settings
  2. Set Enable shortcuts for cloud joined computer to Enabled

While it is recommended to configure the URLs using ADMX templates, they can optionally be configured in the registry:

Registry Key Parameters
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Settings] "AllowShortcutsWithoutOnpremDomain"=dword:00000001