Specops Client
Nota
El Specops Client requiere instalación/despliegue silencioso. Puede descargar los archivos de instalación desde aquí: Descargar. No se requieren configuraciones o parámetros msi para el despliegue.
Specops Client se puede configurar utilizando la plantilla administrativa en la Consola de Administración de Directivas de Grupo.
Specops Client utiliza archivos ADMX para cambiar la configuración del Registro de Windows y alterar la forma en que el software interactúa con el software del sistema. Las plantillas ADMX son archivos basados en XML de Configuración de Directivas de Grupo de Windows que especifican qué claves del registro en el Registro de Windows se cambian cuando se cambia una configuración de Directiva de Grupo determinada (los archivos ADML son los archivos XML localizados que contienen las cadenas de texto asociadas con los archivos ADMX).
Las plantillas ADMX se pueden usar para cambiar numerosas claves del registro, pero este documento se centra en dos configuraciones en particular conectadas a Specops Client: crear el acceso directo del menú de inicio; y mostrar/ocultar el enlace de restablecimiento de contraseña en la página de inicio de sesión.
Accediendo a las plantillas ADMX de Specops
Para acceder a las plantillas ADMX asociadas con Specops Client:
- Abra la herramienta de Administración de Directivas de Grupo (GPMC).
- Haga clic derecho en el Objeto de Directiva de Grupo (GPO) que desea cambiar y seleccione Editar.
- En la navegación del árbol, navegue a Configuración del equipo > Directivas > Plantillas administrativas: Definiciones de directivas (archivos ADMX) > Specops Client. Allí encontrará todas las plantillas ADMX asociadas con Specops Client.
Ocultando el enlace de restablecimiento de contraseña en la página de inicio de sesión
Ubicación: Mejorar el inicio de sesión de Windows y el cambio de contraseña > Mostrar el enlace de restablecimiento de contraseña
En el inicio de sesión de Windows, debajo de los campos de nombre de usuario/contraseña, un enlace “Restablecer contraseña…” permite a los usuarios en organizaciones que ejecutan Specops uReset o Specops Password Reset restablecer sus contraseñas. Esta configuración le permite mostrar u ocultar el enlace de restablecimiento de contraseña que se muestra en la página de inicio de sesión de Windows.
- Abra el archivo Mostrar el enlace de restablecimiento de contraseña.
- Seleccione el botón de opción Deshabilitado.
-
Haga clic en OK.
Nota
para habilitar la configuración nuevamente, puede establecer el botón de opción en No configurado o Habilitado.
Creación de acceso directo en el menú de inicio
Ubicación: Configuraciones generales del cliente > Crear accesos directos en el menú de inicio para inscribirse/cambiar/restablecer
Con Specops Client instalado, cuando un usuario inicia sesión en Windows, se crean accesos directos en el menú de inicio para inscribirse, restablecer y cambiar la contraseña. Estos son accesos directos de conveniencia para que los usuarios utilicen fácilmente Specops uReset o Specops Password Reset. Esta configuración le permite ocultar esos accesos directos, en caso de que no deban mostrarse. Si esos accesos directos ya se han creado en una computadora, se eliminarán en el próximo inicio de sesión si esta configuración se ha establecido en deshabilitado.
Inscribirse, restablecer y cambiar la contraseña tienen cada uno su propio archivo de plantilla. El procedimiento a continuación es el mismo para los tres. Los archivos se nombran de la siguiente manera:
- Crear acceso directo en el menú de inicio para inscribirse
- Crear acceso directo en el menú de inicio para restablecimiento de contraseña
- Crear acceso directo en el menú de inicio para cambio de contraseña
- Abra el archivo para el que desea cambiar el comportamiento (vea la lista de archivos arriba).
- Seleccione el botón de opción Deshabilitado.
-
Haga clic en OK.
Nota
para habilitar la configuración nuevamente, puede establecer el botón de opción en No configurado o Habilitado.
Creación de un Almacén Central para Plantillas Administrativas de Directivas de Grupo
El Almacén Central para Plantillas Administrativas le permite almacenar todos los archivos de plantilla en una única ubicación en SYSVOL donde pueden ser accedidos y presentados en cualquier servidor de su dominio. Para crear un Almacén Central para Plantillas Administrativas de Directivas de Grupo, copie los archivos ADMX/ADML del Cliente Specops uReset desde %windir%\PolicyDefinitions.
El ADMX debe copiarse a:
[su dominio]\sysvol\[su dominio]\Policies\PolicyDefinitions
El ADML debe copiarse a:
[su dominio]\sysvol\[su dominio]\Policies\PolicyDefinitions\en-us
Para obtener más información sobre el Almacén Central y las mejores prácticas, visite: www.support.microsoft.com/kb/929841
Para obtener ayuda en la instalación del producto y el Cliente, consulte la sección de instalación.
Para descargas, consulte la sección de descargas.
Interfaz de Retroalimentación Dinámica
Nota
La retroalimentación dinámica en el cambio de contraseña no es compatible si la configuración de Directiva de Grupo "Inicio de sesión interactivo: No mostrar el último nombre de usuario" está configurada en Habilitado.
Nota
La retroalimentación dinámica en el cambio de contraseña no es compatible cuando se autentica con RSA SecurID.
Uso del Specops Client para uReset en computadoras unidas a Microsoft Entra ID
La guía a continuación describe cómo configurar el Specops Client para uReset en computadoras unidas a Microsoft Entra ID.
Instalación del Cliente
Descargue el MSI del Specops Client y despliegue en computadoras cliente (para más información sobre la instalación del Cliente, consulte la guía de instalación). Por ejemplo, se puede usar Microsoft Intune para el despliegue.
Configuración del Cliente
Para usar Specops uReset, se requieren algunas configuraciones del registro en las computadoras cliente. Aunque se pueden aplicar manualmente, se recomienda usar Intune para desplegarlas.
Descarga/Importación de Plantillas Administrativas (ADMX)
Descargue las plantillas ADMX para Specops Client. Tenga en cuenta que hay dos versiones de las plantillas ADMX. Para computadoras unidas a Microsoft Entra ID, use Specops.Client.AzureAdJoinedComputer.AdmxTemplates.zip.
Importe los archivos admx/adml en Intune, vea Importar plantillas administrativas ADMX y ADML personalizadas en Microsoft Intune.
Nota
El ADMX de Specops tiene una dependencia de las plantillas ADMX de Microsoft. Importe windows.admx/windows.adml de las últimas plantillas ADMX de Microsoft antes de importar las plantillas ADMX de Specops.
Deshabilitando "Cambiar Contraseña" en Windows
Para proporcionar una mejor experiencia de usuario para los usuarios que cambian contraseñas con retroalimentación sobre las reglas de la política de contraseñas cumplidas mientras escriben la nueva contraseña, se recomienda deshabilitar la interfaz de cambio de contraseña incorporada de Windows y aconsejar a los usuarios que utilicen Specops uReset en su lugar.
Para deshabilitar la interfaz de cambio de contraseña incorporada de Windows con las plantillas administrativas de Microsoft, haga lo siguiente:
- Vaya a Configuración de usuario > Plantillas administrativas > Sistema > Opciones de Ctrl+Alt+Del
- Establezca Eliminar Cambiar Contraseña en Habilitado
Nota
Tenga en cuenta que lo anterior es una configuración por usuario.
Configuración de URLs para uReset
En la Herramienta de Administración de Specops Gatekeeper, se pueden encontrar URLs para inscripción, restablecimiento de contraseña y cambio de contraseña. Estos deben copiarse de la Herramienta de Administración de Gatekeeper e ingresarse en:
Configuración del equipo > Plantillas administrativas > Specops Client (Computadoras Microsoft Entra ID) > URLs para Specops Authentication
Aunque se recomienda configurar las URLs utilizando plantillas ADMX, opcionalmente se pueden configurar en el registro:
| Clave del Registro | Parámetros |
|---|---|
| [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Urls] | "Enroll"=https://login.specopssoft.com/Authentication/Enroll/?domainName=acme.org"Reset"=https://login.specopssoft.com/Authentication/Password/Reset?domainName=acme.org"Change"=https://login.specopssoft.com/Authentication/Password/Change?domainName=acme.org |
Configuración de accesos directos en el menú de inicio
Como usuario conectado, hay tres accesos directos disponibles en el menú de inicio (Inscribirse, Restablecimiento de Contraseña y Cambio de Contraseña). Estos se crean cuando el usuario inicia sesión.
Por defecto, el usuario obtiene los tres accesos directos. Para mostrar solo un subconjunto de los accesos directos, habilite o deshabilite las configuraciones a continuación según sea necesario. Por ejemplo, una configuración típica podría ser ocultar el acceso directo de restablecimiento de contraseña, pero hacer que los accesos directos de cambio de contraseña y de inscripción estén disponibles.
Qué accesos directos se crean cuando el usuario inicia sesión se puede personalizar en:
Configuración del equipo > Plantillas administrativas > Specops Client (Computadoras Microsoft Entra ID) > Configuraciones generales para configuraciones generales de Specops Client
- Crear acceso directo en el menú de inicio para inscribirse
- Crear acceso directo en el menú de inicio para restablecimiento de contraseña
- Crear acceso directo en el menú de inicio para cambio de contraseña
Aunque se recomienda configurar las URLs utilizando plantillas ADMX, opcionalmente se pueden configurar en el registro (1 para crear el acceso directo, 0 para no crearlo):
| Clave del Registro | Parámetros |
|---|---|
| [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Settings] | "CreateStartMenuShortcutEnroll"=dword:00000001 "CreateStartMenuShortcutReset"=dword:00000001 "CreateStartMenuShortcutChange"=dword:00000001 |
Configuración para computadoras unidas a Microsoft Entra ID
El Specops Client por defecto opera en computadoras unidas a Active Directory local y asume que un controlador de dominio es accesible para que los accesos directos del menú de inicio (Inscribirse, Restablecimiento de Contraseña y Cambio de Contraseña) funcionen. Para usar los accesos directos del menú de inicio en computadoras Microsoft Entra ID, haga lo siguiente:
- Vaya a Configuración del equipo > Plantillas administrativas > Specops Client (Computadoras Microsoft Entra ID) > Configuraciones generales para configuraciones generales de Specops Client
- Establezca Habilitar accesos directos para computadora unida a la nube en Habilitado
Aunque se recomienda configurar las URLs utilizando plantillas ADMX, opcionalmente se pueden configurar en el registro:
| Clave del Registro | Parámetros |
|---|---|
| [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Specopssoft\uReset\Client\Settings] | "AllowShortcutsWithoutOnpremDomain"=dword:00000001 |
Configuración del cliente para Secure Access
El Specops Client debe estar instalado en todas las computadoras que usan Secure Access para iniciar sesión. Dado que es importante que el Specops Client no se desinstale en estas computadoras, no se debe permitir que los usuarios individuales desinstalen el Specops Client (por ejemplo, no permitiéndoles tener privilegios de administrador local). Recomendamos encarecidamente monitorear las desinstalaciones del Specops Client. Para desplegar el cliente Specops se recomienda usar un sistema de despliegue como GPSI o Specops Deploy.
Las computadoras deben estar unidas a Active Directory. Los usuarios en Active Directory pueden estar protegidos con MFA. Los usuarios locales no son compatibles.
Cada computadora cliente debe estar aprovisionada con configuraciones obligatorias, que residen en el registro. Se recomienda usar plantillas ADMX.
Configuraciones ADMX
Configuraciones obligatorias
- URL de la API de Specops Authentication
- Clave de la API de Specops Authentication
Configuraciones opcionales
- Tiempo antes de requerir MFA después de una autenticación en línea exitosa
- Permitir autenticación sin conexión
- Habilitar MFA para inicios de sesión locales
- Habilitar MFA para inicios de sesión remotos
Para más información sobre plantillas ADMX, consulte la sección al principio de esta página.