Specops Client
Nota
El Specops Client requiere instalación/despliegue silencioso. Descargue los archivos de instalación aquí. No se requieren configuraciones ni parámetros msi para el despliegue.
Specops Client se puede configurar utilizando la plantilla administrativa en la Consola de Administración de Políticas de Grupo.
Specops Client utiliza archivos ADMX para cambiar la configuración del Registro de Windows y alterar la forma en que el software interactúa con el software del sistema. Las plantillas ADMX son archivos XML de Configuración de Políticas de Grupo de Windows que especifican qué claves del registro en el Registro de Windows se cambian cuando se cambia una determinada configuración de Política de Grupo (los archivos ADML son los archivos XML localizados que contienen las cadenas de texto asociadas con los archivos ADMX).
Las plantillas ADMX se pueden usar para cambiar numerosas claves del registro, pero este documento se centra en dos configuraciones en particular conectadas a Specops Client: crear el acceso directo del menú de inicio; y mostrar/ocultar el enlace de restablecimiento de contraseña en la página de inicio de sesión.
Accediendo a las plantillas ADMX de Specops
Para acceder a las plantillas ADMX asociadas con Specops Client:
- Abra la herramienta de Administración de Políticas de Grupo (GPMC).
- Haga clic derecho en el Objeto de Política de Grupo (GPO) que desea cambiar y seleccione Editar.
- En la navegación del árbol, navegue a Configuración del equipo > Políticas > Plantillas administrativas: Definiciones de políticas (archivos ADMX) > Specops Client. Allí encontrará todas las plantillas ADMX asociadas con Specops Client.
Ocultando el enlace de restablecimiento de contraseña en la página de inicio de sesión
Ubicación: Mejorar el inicio de sesión de Windows y el cambio de contraseña > Mostrar el enlace de restablecimiento de contraseña
En el inicio de sesión de Windows, debajo de los campos de nombre de usuario/contraseña, un enlace "Restablecer contraseña…" permite a los usuarios en organizaciones que ejecutan Specops uReset o Specops Password Reset restablecer sus contraseñas. Esta configuración le permite mostrar u ocultar el enlace de restablecimiento de contraseña que se muestra en la página de inicio de sesión de Windows.
- Abra el archivo Mostrar el enlace de restablecimiento de contraseña.
- Seleccione el botón de opción Deshabilitado.
-
Haga clic en OK.
Nota
Para habilitar la configuración nuevamente, puede configurar el botón de opción en No configurado o Habilitado.
Creación de acceso directo en el menú de inicio
Ubicación: Configuraciones generales del cliente > Crear accesos directos en el menú de inicio para inscribirse/cambiar/restablecer
Con Specops Client instalado, cuando un usuario inicia sesión en Windows, se crean accesos directos en el menú de inicio para inscribirse, restablecer y cambiar la contraseña. Estos son accesos directos de conveniencia para que los usuarios utilicen fácilmente Specops uReset o Specops Password Reset. Esta configuración le permite ocultar esos accesos directos, en caso de que no deban mostrarse. Si esos accesos directos ya se han creado en una computadora, se eliminarán en el próximo inicio de sesión si esta configuración se ha establecido como deshabilitada.
Inscribirse, restablecer y cambiar la contraseña tienen cada uno su propio archivo de plantilla. El procedimiento a continuación es el mismo para los tres. Los archivos se nombran de la siguiente manera:
- Crear acceso directo en el menú de inicio para inscribirse
- Crear acceso directo en el menú de inicio para restablecimiento de contraseña
- Crear acceso directo en el menú de inicio para cambio de contraseña
- Abra el archivo para el que desea cambiar el comportamiento (vea la lista de archivos arriba).
- Seleccione el botón de opción Deshabilitado.
-
Haga clic en OK.
Nota
Para habilitar la configuración nuevamente, puede configurar el botón de opción en No configurado o Habilitado.
Creación de un Almacén Central para Plantillas Administrativas de Políticas de Grupo
El Almacén Central para Plantillas Administrativas le permite almacenar todos los archivos de plantillas en una única ubicación en SYSVOL donde se pueden acceder y presentar en cualquier servidor de su dominio. Para crear un Almacén Central para Plantillas Administrativas de Políticas de Grupo, copie los archivos ADMX/ADML del Cliente Specops uReset desde %windir%\PolicyDefinitions.
El ADMX debe copiarse a:
[su dominio]\sysvol\[su dominio]\Policies\PolicyDefinitions
El ADML debe copiarse a:
[su dominio]\sysvol\[su dominio]\Policies\PolicyDefinitions\en-us
Para obtener más información sobre el Almacén Central y las mejores prácticas, visite: www.support.microsoft.com/kb/929841
Para obtener ayuda en la instalación del producto y el Cliente, consulte la sección de Instalación.
Para descargas, consulte la sección de Descargas.
Interfaz de Retroalimentación Dinámica
Nota
La retroalimentación dinámica en el cambio de contraseña no es compatible si la configuración de Política de Grupo "Inicio de sesión interactivo: No mostrar el último nombre de usuario" está configurada como Habilitada.
Nota
La retroalimentación dinámica en el cambio de contraseña no es compatible cuando se autentica con RSA SecurID.
Specops Client y Microsoft Entra SSPR
Esta sección se aplica a organizaciones que utilizan Specops Password Policy, Microsoft Entra ID híbrido y utilizan Microsoft Entra SSPR para restablecimientos de contraseña.
Cuando Microsoft Entra SSPR restablece la contraseña de un usuario en Microsoft Entra ID híbrido, se invoca el Specops Password Policy Sentinel para evaluar la nueva contraseña.
Se informará a Microsoft Entra SSPR si Specops Password Policy rechaza la nueva contraseña. Sin embargo, tenga en cuenta que Microsoft Entra SSPR carece de conocimiento sobre por qué se rechazó el restablecimiento de la contraseña. Considere implementar Specops uReset para obtener una mejor experiencia de usuario.
Si las computadoras cliente ya están configuradas usando Intune o política de registro y usan Microsoft Entra SSPR para el enlace "Restablecer contraseña...", esta configuración debe revertirse.
Para usar Microsoft Entra SSPR para restablecer la contraseña desde el enlace "Restablecer contraseña..." en la pantalla de inicio de sesión de Windows, use la siguiente configuración:
- Despliegue el Specops Client
- Asegúrese de que "AllowPasswordReset" bajo "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount" en el valor del registro esté deshabilitado (inexistente o configurado en 0). Esto deshabilita la funcionalidad incorporada de Microsoft Entra SSPR "Restablecer contraseña...".
- Configure una política de grupo que afecte a la computadora, con "Usar Microsoft Entra SSPR para restablecimientos de contraseña" configurado como "Habilitado" desde el ADMX de Specops Client
- Tenga en cuenta que las funciones "Restablecimiento de contraseña sin VPN con actualización de credenciales en caché" solo funcionan con Specops uReset, pero no con Microsoft Entra SSPR.
Configuración del cliente para Secure Access
El Specops Client debe estar instalado en todas las computadoras que usen Secure Access para iniciar sesión. Dado que es importante que el Specops Client no se desinstale en estas computadoras, no se debe permitir que los usuarios individuales desinstalen el Specops Client (por ejemplo, no permitiéndoles tener privilegios de administrador local). Recomendamos encarecidamente monitorear las desinstalaciones del Specops Client. Para desplegar el cliente Specops se recomienda usar un sistema de despliegue como GPSI o Specops Deploy.
Las computadoras deben estar unidas a Active Directory. Los usuarios en Active Directory pueden estar protegidos con MFA. Los usuarios locales no son compatibles.
Cada computadora cliente debe ser aprovisionada con configuraciones obligatorias, que residen en el registro. Se recomienda usar plantillas ADMX.
Configuraciones ADMX
Configuraciones obligatorias
- URL de la API de Specops Authentication
- Clave de API de Specops Authentication
Configuraciones opcionales
- Tiempo antes de requerir MFA después de la autenticación en línea exitosa
- Permitir autenticación sin conexión
- Habilitar MFA para inicios de sesión locales
- Habilitar MFA para inicios de sesión remotos
Para obtener más información sobre las plantillas ADMX, consulte la sección en la parte superior de esta página.