Produktdokumentation
Self Service Password Reset
1.1.x 1.1
PDF anzeigen

Sichere Konfiguration

April 20, 2026
Beitrag von: 
C C

  • Dieser Artikel enthält die erforderlichen Verfahren, um sicherzustellen, dass die Komponenten der Self-Service-Kennwortzurücksetzung sicher bereitgestellt und konfiguriert werden.

  • Erstellen Sie ein Domänenbenutzerkonto, um das Benutzerkennwort zurückzusetzen und die Berechtigung zur Entsperrung von Benutzerkonten zu erteilen.

  • Konfigurieren Sie die Firewalleinstellungen.

  • Erstellen eines Self-Service-Kontos

Wenn Sie die Funktionen zur Kennwortzurücksetzung oder Kontosperre aufheben der Self-Service-Kennwortzurücksetzung verwenden, geben Sie während der Dienstkonfiguration ein Self-Service-Konto an, das vom Self-Service-Modul zur Ausführung der Kennwortzurücksetzung und Kontosperre aufheben verwendet wird. Stellen Sie sicher, dass das Konto über ausreichende Berechtigungen verfügt, aber wir empfehlen nicht, ein Konto in der Gruppe der Domänenadministratoren für Produktionsbereitstellungen zu verwenden. Die empfohlenen Kontoberechtigungen sind:

  • Mitglied der Domäne
  • Berechtigung zum Zurücksetzen des Kennworts und zum Entsperren des Kontos für die relevanten Domänenbenutzer

Erstellen Sie in Active Directory-Benutzer und -Computer die Gruppe oder das Benutzerkonto, das die Rechte zum Zurücksetzen des Benutzerkennworts und zum Entsperren von Benutzerkonten haben soll.

  1. Klicken Sie in Active Directory-Benutzer und -Computer mit der rechten Maustaste auf die Domäne, und klicken Sie dann im Menü auf Steuerung delegieren.
  2. Der Assistent zum Delegieren von Steuerungen wird angezeigt. Klicken Sie im Dialogfeld Willkommen auf Weiter.
  3. Klicken Sie im Dialogfeld Benutzer und Gruppen auf Hinzufügen. Wählen Sie die Gruppe in der Liste aus, der Sie das Recht zum Entsperren von Konten geben möchten, und klicken Sie dann auf OK. Klicken Sie im Dialogfeld Benutzer und Gruppen auf Weiter.
  4. Klicken Sie im Dialogfeld Aufgaben zum Delegieren auf Benutzerdefinierte Aufgabe zum Delegieren erstellen, und klicken Sie dann auf Weiter.
  5. Klicken Sie im Dialogfeld Objekttyp des Active Directory auf Nur die folgenden Objekte im Ordner > Benutzerobjekte, und klicken Sie dann auf Weiter.
  6. Wählen Sie im Dialogfeld Berechtigungen die Kontrollkästchen Allgemein und Eigenschaftsspezifisch aus. Wählen Sie in der Liste Berechtigungen die Kontrollkästchen Sperrzeit lesen, Sperrzeit schreiben, Kennwort zurücksetzen, Kennwort ändern, Benutzerkontensteuerung lesen, Benutzerkontensteuerung schreiben, pwdLastSet lesen und pwdLastSet schreiben aus, und klicken Sie dann auf Weiter.
    1. Klicken Sie im Dialogfeld des Assistenten zum Delegieren von Steuerungen abschließen auf Fertig stellen.

Konfigurieren der Firewalleinstellungen

Da der Self-Service-Kennwortzurücksetzungsserver und die zentralen Speicherserverkomponenten Benutzerkennwörter verwalten, empfehlen wir dringend, diese Komponenten in einem vertrauenswürdigen Netzwerk bereitzustellen und sicherzustellen, dass sie nur von bestimmten vertrauenswürdigen Komponenten erreichbar sind. Dieser Abschnitt beschreibt die Schritte, um sicherzustellen, dass Sie die Windows-Firewall für diese Server korrekt konfigurieren. Wir empfehlen außerdem, die vorhandene Netzwerkinfrastruktur so zu konfigurieren, dass diese Server von nicht vertrauenswürdigem Netzwerkverkehr isoliert sind.

Nachdem Sie diese Konfigurationen in der Bereitstellung abgeschlossen haben, können die zentralen Speicherserver der Self-Service-Kennwortzurücksetzung nur von Self-Service-Kennwortzurücksetzungsservern über Server Message Block (SMB) erreicht werden. Und die Self-Service-Kennwortzurücksetzungsserver werden nur von den StoreFront™-Servern mit HTTPS-Verbindungen erreicht.

Bereitstellung von Remote-Dateifreigaben für Windows 2012 R2

localized image

Umgebung

  • Stellen Sie die Komponenten der Self-Service-Kennwortzurücksetzung auf dedizierten Servern bereit. Stellen Sie sie nicht auf denselben Servern wie die vorhandenen StoreFront- oder Delivery Controller™-Komponenten bereit. Andernfalls könnte die unten gezeigte Firewallkonfiguration den StoreFront- oder Controller-Verkehr blockieren.
  • Es gibt keinen nicht-transparenten HTTP/HTTPS-Proxy zwischen StoreFront und dem Self-Service-Kennwortzurücksetzungsserver.

Wenn ein nicht-transparenter Proxy zwischen StoreFront und dem Self-Service-Kennwortzurücksetzungsserver vorhanden ist, konfigurieren Sie den Self-Service-Kennwortzurücksetzungsserver so, dass er in den Firewallregeln nur vom Proxyserver aus zugänglich ist.

  • Die Konfigurationen in diesen Verfahren basieren auf den Windows-Standard-Firewallregeln.

Konfigurieren der Firewall für den zentralen Speicher der Self-Service-Kennwortzurücksetzung

Nach Abschluss der Konfiguration kann der vom zentralen Speicher der Self-Service-Kennwortzurücksetzung bereitgestellte SMB-Dienst nur von den Self-Service-Kennwortzurücksetzungsservern eingehend erreicht werden. Und der zentrale Speicherserver der Self-Service-Kennwortzurücksetzung kann Dienste, die sich im Unternehmensnetzwerk befinden, nur ausgehend erreichen.

  1. Öffnen Sie den Server-Manager, und wählen Sie im Menü Extras in der oberen Navigationsleiste Windows-Firewall mit erweiterter Sicherheit aus.

  2. Wählen Sie in der Windows-Firewall mit erweiterter Sicherheit im mittleren Bereich Eigenschaften der Windows-Firewall aus. Es gibt drei Firewallprofile – Domäne, Privat und Öffentlich. Wählen Sie die Registerkarte Domänenprofil aus. Stellen Sie sicher, dass der Firewallstatus auf Ein, die Eingehenden Verbindungen auf Blockieren und die Ausgehenden Verbindungen auf Zulassen eingestellt sind.

localized image

  1. Wählen Sie die Registerkarten Privates Profil und Öffentliches Profil aus. Stellen Sie sicher, dass der Firewallstatus auf Ein und sowohl die Eingehenden Verbindungen als auch die Ausgehenden Verbindungen auf Blockieren eingestellt sind. Wenden Sie die Änderungen an und speichern Sie sie.

  2. Wählen Sie unter den Eingehenden Regeln die Option Datei- und Druckerfreigabe (SMB-In) aus und stellen Sie sicher, dass diese Regel Aktiviert ist und die Aktion auf Verbindung zulassen eingestellt ist.

localized image

  1. Wechseln Sie in den Eigenschaften von Datei- und Druckerfreigabe (SMB-In) zur Registerkarte Bereich. Wählen Sie Diese IP-Adressen aus und fügen Sie alle IP-Adressen der Self-Service-Kennwortzurücksetzungsserver zur Liste hinzu. Zum Beispiel Self-Service-Kennwortzurücksetzungsserver A (192.168.1.10) und Self-Service-Kennwortzurücksetzungsserver B (192.168.1.11).

  2. Wechseln Sie in den Eigenschaften von Datei- und Druckerfreigabe (SMB-In) zur Registerkarte Erweitert, wählen Sie die Profile Domäne, Privat und Öffentlich aus und speichern Sie die Änderungen dieser Regel.

  3. Wiederholen Sie dieses Verfahren für die Eingehenden Regeln für Remoteverwaltung des Dateiservers (SMB-In) und Datei- und Druckerfreigabe (NB-Session-In).

Konfigurieren der Firewall für den Self-Service-Kennwortzurücksetzungsserver

Nach Abschluss der Konfiguration kann der von den Self-Service-Kennwortzurücksetzungsservern bereitgestellte Webdienst nur von den StoreFront-Servern über HTTPS erreicht werden. Und die Self-Service-Kennwortzurücksetzungsserver können Dienste, die sich im Unternehmensnetzwerk befinden, erreichen.

  1. Öffnen Sie den Server-Manager, und wählen Sie im Menü Extras in der oberen Navigationsleiste Windows-Firewall mit erweiterter Sicherheit aus.

  2. Wählen Sie in der Windows-Firewall mit erweiterter Sicherheit im mittleren Bereich Eigenschaften der Windows-Firewall aus. Es gibt drei Firewallprofile – Domäne, Privat und Öffentlich. Wählen Sie die Registerkarte Domänenprofil aus. Stellen Sie sicher, dass der Firewallstatus auf Ein, die Eingehenden Verbindungen auf Blockieren und die Ausgehenden Verbindungen auf Zulassen eingestellt sind.

localized image

  1. Wählen Sie die Registerkarten Privates Profil und Öffentliches Profil aus und stellen Sie sicher, dass der Firewallstatus auf Ein eingestellt ist. Und sowohl die Eingehenden Verbindungen als auch die Ausgehenden Verbindungen auf Blockieren eingestellt sind. Wenden Sie die Änderungen an und speichern Sie sie.

  2. Wählen Sie unter den Eingehenden Regeln die Option World Wide Web Services (HTTP-Datenverkehr – eingehend) aus. Und stellen Sie sicher, dass diese Regel Aktiviert ist und die Aktion auf Verbindung blockieren eingestellt ist.

  3. Wechseln Sie in den Eigenschaften von World Wide Web Services (HTTP-Datenverkehr – eingehend) zur Registerkarte Erweitert. Wählen Sie die Profile Domäne, Privat und Öffentlich aus und speichern Sie die Änderungen dieser Regel.

  4. Wählen Sie unter den Eingehenden Regeln die Option World Wide Web Services (HTTPS-Datenverkehr – eingehend) aus. Stellen Sie sicher, dass diese Regel Aktiviert ist und die Aktion auf Verbindung zulassen eingestellt ist.

localized image

  1. Wählen Sie unter Eigenschaften von World Wide Web Services (HTTPS-Eingangsdatenverkehr) die Registerkarte Bereich. Wählen Sie Diese IP-Adressen aus, und fügen Sie alle IP-Adressen der StoreFront-Server zur Liste hinzu. Zum Beispiel StoreFront A (192.168.1.50) und StoreFront B (192.158.1.51).

  2. Wählen Sie unter Eigenschaften von World Wide Web Services (HTTPS-Eingangsdatenverkehr) die Registerkarte Erweitert. Wählen Sie die Profile Domäne, Privat und Öffentlich aus, und speichern Sie die Änderungen dieser Regel.

Sichere Konfiguration
April 20, 2026
Beitrag von: 
C C
April 20, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.