Verwenden von Rohos Logon Key in einem Active Directory

Bevor Sie beginnen

Das Verwenden der Rohos Logon Key Anwendung im Active Directory erlaubt es, einen Nutzer auf jedem Computer der Domain eindeutig per USB-Schlüssel zu identifizieren. Zusätzlich ist es möglich, den Zugang zu einem Computer zu begrenzen, indem manche Schlüssel nur an diesen Arbeitsstationen blockiert werden. Ein Administrator muss eine bestimmte Nutzergruppe zwingen, USB-Schlüssel  zu verwenden und die reguläre Authentifizierungs-Login mit Passwort für sie verbieten.

So können wir beispielsweise eine Domain mit dem DNS-Namen tesline.local und dem NetBIOS-Namen TESLINE0 erstellen. Nehmen wir an, ein Nutzer mit dem Namen Nutzer12345 loggt sich sowohl mit seinem USB-Schlüssel, als auch mit Login anb-Passwort ein. Ein anderer Nutzer, Rohos321, kann sich nur mit USB-Schlüssel einloggen, da ihm die Authentifizierung via Passwort nicht erlaubt ist. Wir müssen eine Gruppe mit Namen Rohos anlegen und Nutzer Rohos321 dort hinzufügen. Somit wird er gleichzeitig ein Mitglied zweier Gruppen sein: Domain-Nutzer und Rohos.

Sie müssen Rohos Logon Key auf allen Arbeitsstationen installieren, zu denen Domain-Nutzer Zugang haben.

Um Schlüssel zu erstellen, müssen sie sich auf allen Arbeitsstationen, die mit dem Active Directory verbunden sind, als Administrator einloggen

Nutzen desselben Authentifizierungsschlüssels auf mehreren Computern.

Gesetzt dem Fall, dass sich mehrere Computer in einer Domain befinden und mehrere Nutzer an unterschiedlichen Maschinen arbeiten, ist es nötig, die Autorisierung mit demselben Schlüssel auf allen Computern der Domain zur Verfügung zu stellen.

Dies läuft in zwei Schritten ab:

Schritt 1. Erstellen aller Schlüssel im in der USB Key Manager Anwendung des Rohos Management Toolpackages (Freeware).

Schließen sie USB-Drive oder Smart Card an. Im Hauptfenster des USB Key Managers können wir eine Liste mit Profilen sehen, die sich auf dem aktuellen USB-Schlüssel befinden.

Klicken Sie auf den Add Logon Profile.

Um das Profil zu bearbeiten, wählen sie es auf und klicken Edit-Button. Ist dieser Schlüssel zuvor in der Rohos Logon Key Anwendung erstellt worden, ist das Passwort verschlüsselt. Dieses Profil ist nicht geeignet für die Authentifizierung auf Domain-Computern. Klicken Sie rechts auf den * Button, um das Passwort anzuzeigen. Sie müssen es in beiden Feldern zu non-encrypted ändern und auf OK klicken.

Wenn Sie nicht in einer Domain, sondern in einer Arbeitsgruppe arbeiten, können Sie das Domain-Feld leer lassen. Nun ist der Schlüssel für alle PCs geeignet, wo diese Kombination von Login und Passwort vorhanden ist. Sie dürfen das Passwort nicht eingeben, sodass Nutzer gezwungen sind, es manuell einzugeben, zusammen mit dem USB-Schlüssel.

Schritt 2. Exportiren Sie die Liste der Users and keys in eine Textdatei, um sie in andere Computer-Domains zu importieren. Dies kann die Sicherheit des Systems erhöhen, da der Nutzer gezwungen ist, seinen Schlüssel einzugeben. Er kann keinen selbsterstellten Schlüssel verwenden, da das System ihm nur durch den von Ihnen erstellten Schlüssel Zugang gibt (Die Liste der Schlüssel enthält die Seriennummern aller USB-Schlüssel). So funktioniert es:

Klicken Sie im USB Key Manager auf den USB Keys Button, und ein Fenster mit der Liste der Schlüssel und Nutzer erscheint. Klicken Sie auf Export, und eine Textdatei mit der .reg Erweiterung erscheint auf dem Desktop. Kopieren Sie sie auf andere Computer.

Starten Sie Rohos Logon Key auf einer Arbeitsstation, führen Sie das Users and Keys Kommando aus, drücken Sie auf den Import-Button und finden Sie die Textdatei mit der Liste von Schlüsseln und Nutzern. Wechseln sie n den Einstellungen der Rohos Logon Key Anwendung auf die Option Check Serial Number

Dieser Modus ist besonders praktisch, wenn kein Passwort auf einem USB-Schlüssel gespeichert wird und ein Nutzer es zusammen mit seinem USB-Schlüssel eingeben muss. Der Schlüssel kann helfen, den Nutzer zu identifizieren, wenn er sein Passwort ändert..

Eine Beschränkung für die Rohos-Nutzergruppe hinzufügen.

Um Mitgliedern der Rohos-Nutzergruppe das Einloggen ohne USB-Schlüssel zu verbieten, öffnen Sie bitte die Rohos Logon Key Anwendung. Dort auf Optionen und dann auf ‘For rohos user group in Active directory’ aus der Liste, um es Nutzern zu erlauben, sich nur via USB-Schlüssel einzuloggen.

Dies müssen Sie sowohl auf dem Domain-Controller als auch auf den Arbeitsstationen machen.

Zur Vereinfachung nutzen sie das Rohos Remote Configuration Utility aus dem Rohos Management Toolspackage (Freeware). Starten Sie es auf dem Computer des Aministrators, wählen Sie Acttve Directory Computers und klicken Sie auf Add PC. Klicken Sie auf Browse, um verbundene Computer zu finden. Wählen Sie die gewünschte Arbeitsstation und fügen Sie sie zur Liste hinzu. Wählen Sie sie erneut in der Liste aus und nehmen Sie alle Einstellungen vor.

  • Nutzen Sie den Export Keys Button, um Informationen über die auf diesem Computer erstellten USB-Schlüssel zu senden.
  • Prüfen Sie die Seriennummer – dies verhindert die Nutzung selbsterstellter USB-Schlüssel.
  • Wer ist gezwungen, USB-Schlüssel zu verwenden: Gelistete Nutzer (alle Nutzer, für die sie die Schlüssel vorbereitet haben) oder die Rohos-Gruppe.

Anmerkungen:

  • Sie verstehen sicher, dass Nutzer der Rohos-Gruppe keine Administratoren oder Domain-Administratoren sein dürfen. Anderenfalls könnten sie die Einstellungen Ihrer Anwendung ändern, wodurch ihre Sicherheit nicht mehr gewährleistet ist.
  • Da wir dies so festgelegt haben, werden alle Nutzer, für die wir einen Schlüssel erstellen, automatisch zur Rohos-Gruppe hinzugefügt. Sie können sie manuell aus dieser Gruppe entfernen.
  • Als erstes müssen Sie die Liste der Schlüssel exportieren und auf allen Arbeitsstationen importieren. Danach können Sie eine Einschränkung für die Rohos-Gruppe hinzufügen.
  • Wenn auf einer Arbeitsstation Windows XP installiert ist, wählen Sie Typical Windows Login aus der Windows Logon Model List in den Rohos-Optionen

Wie der Zugang zu einigen Computern verboten wird

  • Um den Zugang einiger Nutzer aus der Liste oder Rohos-Gruppe auf manchen Domain-Computer zu begrenzen, starten Sie die dort die Rohos Logon Key Anwendung und öffnen die Liste der Nutzer und Schlüssel. Wählen Sie den gewünschten Nutzer und drücken Sie den Block-Button. Sein Name verfärbt sich rot. Dies bedeutet, dass die Authentifizierung per USB-Schlüssel auf diesem Computer für diesen Nutzer nicht mehr möglich ist. Um ihm die Authentifizierung zu erlauben, wählen Sie seinen Namen und klicken Sie auf den Unblock-Button.

Rohos-Lizenzen für Domain-Computer

  • Pro-Lizenz – für jede Domain-Arbeitsstation
  • Server-Lizenz – für Terminal-Server, RDC unter Windows 2003, 2008, 2012.