Administrator-Registrierung

Specops Authentication für Specops uReset 8 ermöglicht Administratoren, Benutzer im System zu registrieren, ohne dass die Benutzer den Registrierungsprozess durchlaufen müssen. Dies kann mit jedem Identitätsdienst erreicht werden, der Identifikationsinformationen im Active Directory gespeichert hat.

Bevor Sie diesen Leitfaden verwenden, benötigen Sie:
Grundkenntnisse in PowerShell
PowerShell 4.0 oder höher
Specops Authentication für Specops uReset 8 konfiguriert mit einem aktiven Gatekeeper
Specops Authentication für uReset 8 Admin-Gruppenmitgliedschaft
Das Specops Authentication für uReset 8 PowerShell-Modul – installiert mit den Verwaltungstools C:\Windows\System32\WindowsPowerShell\v1.0\Modules\Specops.Authentication.Gatekeeper.Admin

Identitätsdienste für die Registrierung

Administratoren können sich mit den folgenden Identitätsdiensten registrieren:

Persönliche E-Mail
Mobiler Code
Sicherheitsfragen
Yubikey
Mobile Bank ID
Google

Cmdlets

Die Cmdlets können von Administratoren verwendet werden, um Benutzer zu verwalten oder sie in Chargen in Specops Authentication für uReset 8 zu registrieren.

Um das Modul zu importieren, führen Sie den folgenden Befehl in PowerShell auf Ihrem Gatekeeper-Server aus:

import-module specops.authentication.gatekeeper

Add-SpecopsAuthenticationIdentityServiceEnrollment

Nimmt die Parameter Benutzername, IdentityServiceId und EnrollmentProof. Kann verwendet werden, um sich mit allen Identitätsdiensten außer: Sicherheitsfragen, Duo Security, Specops Fingerprint, Authenticatoren, Manager-Identifikation, Symantec VIP, LinkedIn und Windows Identity zu registrieren. Verwenden Sie das Cmdlet Get-SpecopsAuthenticationIdentityServices, um die IdentityServiceId Ihres Identitätsdienstes zu finden.

Verwendungsbeispiel:

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -Username mySamAccountName
  -IdentityServiceId Google
  -EnrollmentProof MyGoogleAccount

Mobiler Code (SMS) Admin-Registrierung

Die Mobiler Code (SMS) Admin-Registrierung erfordert das Aktualisieren des mobilen Attributs im Benutzerobjekt und der Registrierungsdaten im Blattobjekt. Ein Administrator kann das mobile Attribut in einem Benutzerkonto mit dem Active Directory-Verwaltungstool oder mit PowerShell aktualisieren. Wenn Sie das Standardattribut für Mobiltelefone verwenden, verwenden Sie den folgenden Befehl:

Set-ADUser -Identity user0020 -MobilePhone '+1-202-555-0191'

Wenn Sie die Mobilnummer in einem benutzerdefinierten Attribut speichern, müssen Sie stattdessen dieses Attribut angeben. Wenn sich die Mobilnummer beispielsweise im otherMobile-Attribut befindet, können Sie den folgenden Befehl verwenden:

Set-ADUser -Identity user0020 -Replace @{otherMobile='+1-202-555-0191'}

Für Gatekeeper Admin Tool 8.23 und später: nach dem Aktualisieren des mobilen Attributs können Sie PowerShell verwenden, um den Nachweis im Blattobjekt hinzuzufügen.

Add-SAMobileCodeEnrollment
  -Username jane.doe
  -MobileNumber +123
  -GatekeeperServer dc02.subaru.local

Für Gatekeeper Admin Tool 8.22 und früher: nach dem Aktualisieren des mobilen Attributs können Sie PowerShell verwenden, um den Nachweis im Blattobjekt hinzuzufügen.

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -username user0020
  -IdentityServiceId MobileCode
  -EnrollmentProof +12025550191

Persönliche E-Mail Admin-Registrierung

Verwendungsbeispiel:

Add-SpecopsAuthenticationIdentityServiceEnrollment
  -username user0020
  -IdentityServiceId AlternateEmail
  -EnrollmentProof user@domain.com

Add-SpecopsAuthenticationQuestionsEnrollment

Nimmt die Parameter Benutzername, Antworten und Sprache. Sprache ist ein optionaler 2-stelliger Sprachcode. Antworten nimmt ein Array von Fragen und Antworten.

Verwendungsbeispiel:

$questionsAndAnswers =
  @{'Question'='Wer bist du?'; 'Answer'='Niemand'},
  @{'Question'='Warum bist du hier?'; 'Answer'='Ich bin nicht'}

Add-SpecopsAuthenticationQuestionsEnrollment
  –Username mySamAccountName
  –Answers $questionsAndAnswers

Get-SpecopsAuthenticationEnrollment

Listet die Identitätsdienste auf, mit denen ein Benutzer registriert ist.

Verwendungsbeispiel:

Get-SpecopsAuthenticationEnrollment -Username mySamAccountName

Get-SpecopsAuthenticationIdentityServices

Listet alle Identitätsdienste auf, die in Ihrem Specops Authentication-Abonnement verfügbar sind.

Verwendungsbeispiel:

Get-SpecopsAuthenticationIdentityServices

Remove-SpecopsAuthenticationEnrollment

Entfernt alle registrierten Identitätsdienste von einem Benutzer, außer automatisch registrierte, wie Windows Identity, Duo Security, Manager-Identifikation oder Symantec VIP.

Verwendungsbeispiel:

Remove-SpecopsAuthenticationEnrollment -Username mySamAccountName

Remove-SpecopsAuthenticationIdentityServiceEnrollment

Entfernt eine Identitätsdienstregistrierung von einem Benutzer.

Verwendungsbeispiel:

Remove-SpecopsAuthenticationIdentityServiceEnrollment
  -Username mySamAccountName
  -IdentityServiceId Fingerprint