Installation

Folgender Inhalt ist für IT-Administratoren bestimmt und dient zur Installation und Bewertung von Specops uReset 8. Weitere Informationen über die im Folgenden verwendeten Komponenten und Konzepte finden Sie in der Übersicht.

Wir empfehlen, das selbstextrahierende Installationspaket herunterzuladen und dann den Installationsassistenten auszuführen.

Wenn Ihr Unternehmen Windows Server Core (ohne grafische Benutzeroberfläche) verwendet, können Sie alternativ das skriptbasierte Installationsverfahren von PowerShell verwenden.

Anforderungen


Die Umgebung Ihres Unternehmens muss folgende Anforderungen erfüllen:

Anforderungen
Komponente Anforderung
Gatekeeper-Server-Computer
  • Vollständig gepatchtes Betriebssystem erforderlich
  • Verbunden mit Ihrer Active Directory-Domain
  • Windows Server 2016/2019/2022 (Core- oder Desktop-Erlebnis)
    HINWEIS
    Wenn auf dem primären Domain-Controller eine Windows Server-Version vor 2008 R2 ausgeführt wird, kann es bis zu einer Stunde dauern, bis die Funktion Admins die Registrierung erlauben wirksam wird.
  • .Net Framework 4.7.2 or later
Gatekeeper-Verwaltungstool
  • Verbunden mit Ihrer Active Directory-Domain
  • Windows 10/11 oder Windows Server 2016/2019/2022
  • .Net Framework 4.7.2 or later
Specops Authentifizierungs-Client
  • Windows 10 x64, Windows 11 x64 or Windows Server 2016/2019/2022
  • .Net Framework 4.7.2 or later
  • For password resets with uReset 8 and Specops Password Reset, the Specops Cefsharp runtime MSI should be installed.
Administratorprivilegien: Sowohl für Active Directory als auch für den Gatekeeper-Server-Computer. Es wird empfohlen, die Installation als Domain-Administrator durchzuführen.
Konto-Optionen Es gibt drei Optionen für das Konto, unter dem der Gatekeeper-Windows-Dienst ausgeführt wird. Bereiten Sie sich darauf vor, eine der folgenden zu verwenden:
  • Managed Service Account (empfohlen): Die Verwendung eines "verwalteten Dienstkontos" für den Gatekeeper ist einfach, so dass Sie als Installationsadministrator keine zusätzliche Maßnahmen ergreifen müssen. Das Skript erstellt ein verwaltetes Dienstkonto in Ihrem Active Directory. Wenn der sAMAccountName des Gatekeeper-Servers in Active Directory "SRV17" lautet, lautet der Name des verwalteten Dienstkontos "SGkSRV17$".
  • Domain-Konto: Wenn Sie ein Domain-Konto verwenden möchten, muss dieses vor der Installation erstellt werden. Sie müssen den sAMAccountName und das Kennwort des Kontos bereithalten.
  • Group Managed Service-Konto: Zunächst muss ein gültiges Dienstkonto erstellt werden, das über den Gatekeeper-Computer genutzt werden kann.
Sicherheitsgruppen Das Installationsskript erstellt Sicherheitsgruppen, die von Specops Authentication verwendet werden. Dazu müssen Sie nichts tun.
  • Admin-Gruppe: Die Benutzer in dieser Gruppe sind Portaladministratoren. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
  • Benutzerverwaltungsgruppe: Die Mitglieder dieser Gruppe können auf die Benutzerverwaltungsfunktionen im Authentifizierungsweb zugreifen. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
  • Gatekeeper-Gruppe: Die Dienstkonten in dieser Gruppe müssen die Berechtigung haben, Benutzerinformationen zu lesen. Das Konto, unter dem der Gatekeeper läuft, wird der Sicherheitsgruppe Gatekeeper hinzugefügt.

Installation von Gatekeeper, Verwaltungstools und Client


Erstellen eines Kundenkontos

  1. Zum Erstellen eines Kundenkontos klicken Sie hier.
  2. Wählen Sie auf der Seite Rechenzentrum auswählen das gewünschte Rechenzentrum aus und klicken Sie auf Beginnen.
    HINWEIS
    Specops Authentication wird in mehreren Rechenzentren gehostet. Derzeit sind zwei Rechenzentren verfügbar: EU (Europa) und NA (Nordamerika).
    WARNUNG
    Vergewissern Sie sich, dass Sie das korrekte Datenzentrum zum Erstellen Ihres Kontos auswählen. Ist es einmal erstellt, können Sie das Rechenzentrum nicht mehr ändern.
  3. Geben Sie in das Feld den Namen Ihrer Organisation ein.
  4. Geben Sie im Feld einen Domain-Namen ein.
  5. Geben Sie im Feld einen Namen ein. Am besten ist dies der Name der Person, die das Konto einrichtet.
  6. Geben Sie in das Feld die mit dem Hauptkontakt verbundene E-Mail-Adresse ein.
  7. Setzen Sie einen Haken an jedem Produkt, für das Sie eine Lizenz besitzen.
  8. Setzen Sie einen Haken an allen zusätzlichen Paketen, für die Sie eine Lizenz besitzen.
  9. Erklären Sie sich mit den Allgemeine Geschäftsbedingungen einverstanden, indem Sie einen Haken setzen.
  10. Klicken Sie auf Fortfahren.
  11. Seite

  12. Auf der Seite müssen Sie zunächst Ihr erstellen. Dieses ist erforderlich, um den Rest der Installation durchführen zu können.
    • Geben Sie in das Feld die E-Mail-Adresse ein, die Sie mit diesem verknüpfen möchten. Der E-Mail-Adresse wird ein Suffix hinzugefügt, um dieses von dem lokalen Konto mit derselben E-Mail-Adresse/UPN zu unterscheiden.
    • Das Feld Vollständiger Cloud-Account-Name ist schreibgeschützt. Der vollständige Name des wird automatisch aus der E-Mail-Adresse bzw. dem UPN generiert, die/den Sie im Feld angegeben haben.
  13. Klicken Sie auf Fortfahren.
  14. Ein Code wird an die von Ihnen angegebene E-Mail-Adresse gesendet. Geben Sie den Code in das Feld Code ein und klicken Sie auf Bestätigen
  15. Seite zum Mobiltelefon-Code

  16. Um Ihr Mobiltelefon auf Ihr einzutragen, geben Sie Ihre Mobiltelefonnummer mit korrekter Landesvorwahl ein und klicken Sie auf Senden. Sie erhalten nun einen Code auf Ihr Mobiltelefon, den Sie zur Authentifizierung auf dem Bildschirm eingeben.
  17. Kennwortseite

  18. Geben Sie auf der Seite Kennwort das Kennwort ein, das Sie für dieses verwenden möchten, bestätigen Sie es und klicken Sie auf OK. Mit diesem Kennwort können Sie sich in Zukunft bei Ihrem anmelden.
    HINWEIS
    Die Richtlinie für dieses Kennwort kann nicht geändert werden.
  19. Authentication Web

  20. Mit der Anmeldung gelangen Sie in den Bereich Admin von Specops Authentication Web. Hier können Sie nun einen neuen Gatekeeper erstellen. Ein Gatekeeper ist erforderlich, um sich mit Active Directory-Konten anzumelden.
  21. Klicken Sie auf die Schaltfläche Neuen Gatekeeper erstellen. Auf der Download-Seite finden Sie das selbstextrahierende Installationspaket und den Aktivierungscode. Klicken Sie neben dem Aktivierungscode auf Kopieren Sie, um ihn in der Zwischenablage zu speichern. Wenn Sie derzeit nicht auf dem Server sind, auf dem der Gatekeeper installiert wird, notieren Sie den Aktivierungscode.
  22. Klicken Sie auf Download neben Selbstextrahierendes Standard-Installationspaket. Das Paket enthält die Installationsdateien für den Gatekeeper und Ihre Konfigurationsinformationen. Standardmäßig wird das Paket in Ihren Downloads-Ordner heruntergeladen.
    • Stellen Sie sicher, dass Sie einen Server für die Installation des Pakets bereithalten.
    • Notieren Sie sich den auf der Seite angezeigten Aktivierungscode, da Sie während der Installation aufgefordert werden, ihn einzugeben.
  23. Kopieren Sie das Installationspaket auf Ihren Server, wenn es sich nicht bereits dort befindet, und führen Sie auf Ihrem Server die Installationsdatei aus.

Installation der Verwaltungstools

Die Verwaltungstools werden zur Installation und Konfiguration der auch Gatekeeper genannten Serverkomponente verwendet. Der Installationsprozess sollte auf demselben Server durchgeführt werden, auf dem auch der Gatekeeper ausgeführt wird.

  1. Klicken Sie im Setup-Assistenten von Specops Authentication (wird mittels Doppelklick auf das Installationspaket gestartet) auf Verwaltungstools installieren.
  2. Wenn die Verwaltungstools installiert sind, klicken Sie auf Verwaltungstools starten.

Installation von Gatekeeper

  1. Klicken Sie auf Gatekeeper installieren.
  2. Sie werden aufgefordert, nur fortzufahren, wenn Sie den Aktivierungscode von der Gatekeeper-Download-Seite auf Specops Authentication Web vorliegen haben. Klicken Sie auf Weiter.
  3. Wählen Sie den Domain-Controller des Active Directory aus, den Sie verbinden möchten.
  4. Wenn Sie keine Berechtigung haben, Specops Authentication auf Domain-Ebene zu installieren, wird Ihnen die Option angezeigt, den Gatekeeper für eine Organisationseinheit zu konfigurieren, in der Sie Administrator sind. Schränken Sie den Speicherort des Delegationsstamms und der Einstellungsobjekte ein, und klicken Sie auf Weiter.
  5. Wählen Sie den Active Directory-Geltungsbereich aus, in dem Berechtigungen erstellt werden sollen, indem Sie den Geltungsbereich im AD-Baum markieren und auf Auswahl hinzufügen klicken. Sie können mehrere Standorte für mehrere Verwaltungsbereiche auswählen. Der Active Directory-Geltungsbereich bestimmt, welche Benutzer den Specops Authentication-Service nutzen können. Wenn Sie nicht möchten, dass Administratoren und Manager in den Geltungsbereich fallen, sie aber dennoch das System verwalten oder Benutzer authentifizieren sollen, setzen Sie einen Haken neben Administratoren und Manager außerhalb des ausgewählten Geltungsbereichs zulassen.
  6. Klicken Sie auf Weiter.
  7. Der Gatekeeper wird als Windows-Dienst ausgeführt. Wählen Sie den Kontokontext aus, unter dem der Gatekeeper-Dienst laufen soll. Sie können zwischen Managed Service-Konto, Group Managed Service-Konto und Custom Domain Account wählen.
    • Standardmäßig ist das Managed Service-Konto eingestellt. Dieses wird für die meisten Organisationen empfohlen.
    • Wenn Custom Domain Account (Benutzerdefiniertes Domain-Konto) ausgewählt ist, geben Sie den Kontonamen und das Kennwort des Benutzerkontos ein, unter dem der Gatekeeper-Dienst ausgeführt werden soll.
    • Die Verwendung des Group Managed Service-Konto ist mit weiteren Anforderungen verknüpft, siehe Group Managed Service-Konto.
  8. Klicken Sie auf Weiter.
  9. Nun erscheint ein Überblick über die mit Specops Authentication verknüpften Sicherheitsgruppen. Standardmäßig werden die folgenden Sicherheitsgruppen erstellt. Sie können entweder die Standardgruppennamen beibehalten oder einen neuen Namen eingeben:
    • Verwaltungsgruppe: Die Benutzer in dieser Gruppe sind Portaladministratoren. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
    • Benutzerverwaltungsgruppe: Die Benutzer in dieser Gruppe können auf die Benutzerverwaltungsfunktionen auf Specops Authentication Web zugreifen. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
    • GatekeeperGruppe: Die Dienstkonten in dieser Gruppe müssen die Berechtigung haben, Benutzerinformationen zu lesen. Das Konto, unter dem der Gatekeeper läuft, wird der Sicherheitsgruppe des Gatekeeper hinzugefügt.
    HINWEIS
    In diesem Schritt können Sie außerdem Mitglieder zu Sicherheitsgruppen hinzufügen, indem Sie auf den Link Mitglieder bearbeiten für die Sicherheitsgruppe und dann auf Mitglied hinzufügen klicken. Bitte beachten Sie auch, dass diese Funktion nur bei einer sauberen Installation des Gatekeeper zur Verfügung steht.
  10. Klicken Sie auf Weiter.
  11. Wenn in den Geltungsbereich für diese Installation Domain-Administratoren involviert sind, muss Administrator-Registrierung konfiguriert werden. Wenn Sie Domain-Administratoren die Registrierung gestatten möchten, setzen Sie einen Haken in das entsprechende Feld. Klicken Sie auf Weiter.
  12. Wenn Ihre Organisation einen Forward-Proxy-Server, um den ausgehenden Internetverkehr umzuleiten, werden Sie aufgefordert, diesen so zu konfigurieren, dass der Gatekeeper das Internet erreichen kann. Andernfalls wird dieser Schritt vom Installationsassistenten übersprungen.
  13. Geben Sie den Aktivierungscode von der Gatekeeper-Download-Seite auf der Specops-Website Authentication Web ein und klicken Sie auf Aktivieren.
  14. Sie erhalten eine Meldung, dass der Gatekeeper erfolgreich konfiguriert und aktiviert wurde.
  15. Klicken Sie auf Fertigstellen.
  16. Stellen Sie sicher, dass der Cloud-Verbindungsstatus im Abschnitt Kommunikationseinstellungen auf Verbunden steht.

Domain-Verifizierung

Um E-Mail-Benachrichtigungen zu aktivieren, müssen Sie alle mit diesem Konto verknüpften Domains verifizieren. Mehr dazu finden Sie unter Domain-Verifizierung.

Installation von Specops Authentication Client

Specops Authentication Client wird mit einem MSI-basierten Installationsassistenten installiert. Beachten Sie, dass der installierte Client bei einem Upgrade von Specops Authentication Client überschrieben wird.

Sofern eine Installation vorgenommen wurde, finden Sie Specops Authentication Client unter "Apps hinzufügen/entfernen" oder "Apps und Features" in der Windows-Systemsteuerung. Die Versionen und Ausgaben können variieren.

HINWEIS
Ältere Versionen des Specops Authentication Client können noch "Specops uReset Client" oder "Specops Password Client" heißen.

Der Specops Authentication Client kann für folgende Specops Software-Produkte verwendet werden:

  • Specops Password Reset
  • Specops Password Policy
  • Specops uReset

Upgrade von Specops Authentication Client

Organisationen, die nur Specops Password Policy verwenden, müssen die Specops Authentication Client MSI implementieren. Die CefSharp Runtime MSI ist für dieses Szenario nicht erforderlich.

Organisationen, die Specops uReset oder Specops Password Reset verwenden, müssen zusätzlich zur Specops Authentication Client MSI die CefSharp Runtime MSI implementieren. Die CefSharp Runtime MSI wird vom Secured Browser angefordert, der zum Zurücksetzen von Kennwörtern genutzt wird.

Da Specops Authentication Client eine spezifische Version der CefSharp Runtime MSI verwendet, ist es wichtig, die neueste CefSharp Runtime MSI zeitgleich zur oder vor der Implementierung der Specops Authentication Client MSI zu implementieren.

Wenngleich die Specops Authentication Client MSI nur mit genau einer Version installiert werden kann, können mehrere Versionen der CefSharp Runtime MSI zeitgleich installiert werden. Dies dient dem Zweck, das Aufspielen in einer größeren Organisation zu vereinfachen.

Der empfohlene Ablauf für das Upgrade der Specops Authentication Client:

  1. Spielen Sie die neueste CefSharp Runtime MSI auf, falls dies nicht bereits erfolgt ist
  2. Spielen Sie die neueste Specops Authentication Client MSI auf
  3. Heben Sie alle vorherigen Versionen der CefSharp Runtime MSI auf (falls erforderlich)
HINWEIS

Bei Verwendung von Specops Authentication Client in Verbindung mit einem Tool zum Zurücksetzen des Kennworts:

Die neuste CefSharp-Browser-Laufzeitversion ist erforderlich, wenn Specops uReset/Specops Password Reset verwendet wird (Kunden, die nur Specops Password Policy nutzen, benötigen die CefSharp-Browser-Laufzeit nicht). Es empfiehlt sich, die CefSharp-Browser-Laufzeit vor dem Specops Authentication Client selbst aufzuspielen.

Installations-/Upgradeverhalten für CefSharp-Browser-Laufzeit wurde geändert. Bei der Installation einer neueren CefSharp-Laufzeit wird die früher installierte Laufzeit nicht überspielt. Stattdessen können verschiedene CefSharp-Browserversionen nebeneinander existieren. Sinn und Zweck dahinter ist, die Einführung auch in Unternehmen zu ermöglichen, in denen der neue CefSharp-Browser zuerst implementiert wurde. Sobald er implementiert ist, können für den Specops Authentication Client Upgrades durchgeführt werden. So kann leichter gewährleistet werden, dass der Specops Authentication Client bei einem Upgrade auf allen Computern funktioniert, und zwar unabhängig davon, ob die neueste CefSharp-Browserlaufzeit aufgespielt wurde.

Specops Authentication Client muss entweder mittels manueller Installation oder unter Zuhilfenahme eines Implementierungstools auf den Client-Computern des Unternehmens installiert werden.

Herunterladen von Specops Authentication Client

Laden Sie die MSI direkt von der Download-Seite herunter. Benutzer, die Specops Password Policy installieren, können über den Abschnitt Client-Installationsdateien herunterladen des Installationsassistenten von Password Policy auch auf die Download-Seite zugreifen.

Implementierung von Specops Authentication Client

Um Specops Authentication Client für alle Benutzer zu implementieren, verwenden Sie GPSI, Specops Deploy/App oder ein anderes Implementierungstool. Specops Authentication Client unterstützt eine stille Installation, wenn ein Implementierungstool zum Einsatz kommt. Die Client-MSI kann mit Hilfe von standardmäßigen MSI-Switches (z. B. /qn) still implementiert werden. Es gibt keine Specops-Befehlszeilenparameter für die MSI-Installation.

Manuelle Installation oder entsprechendes Upgrade von Specops Authentication Client

  1. Öffnen Sie den eben heruntergeladenen Setup-Assistenten für Specops Authentication Client (.msi-Datei)
  2. Klicken Sie im Assistenten auf Weiter.
  3. Akzeptieren Sie die Lizenzvereinbarung, indem Sie einen Haken in das Kästchen setzen, und klicken Sie auf Weiter.
  4. Wählen Sie den Ort aus, an dem der Client installiert werden soll (der Standardpfad lautet C:\Program Files\Specopssoft\Specops Authentication Client\), und klicken Sie auf Weiter.
  5. Klicken Sie auf Installieren.
  6. Sobald die Installation abgeschlossen ist, klicken Sie auf Fertigstellen.

Konfiguration von Specops Authentication Client

Specops Authentication Client kann über die Verwaltungsvorlage in der Gruppenrichtlinien-Verwaltungskonsole konfiguriert werden. Weitere Informationen zur Konfiguration finden Sie auf der Specops Authentication Client-Seite.