Prüfen der Verzeichnisserver-Authentifizierung für ein Administratorkonto

Sie können prüfen, ob ein Active Directory- oder LDAP-Server den Benutzernamen und das Kennwort für ein Administratorkonto authentifiziert, das Sie erstellen. Die Prüfung wertet aus, ob Sie den Benutzernamen und das Kennwort richtig hinzufügten und ob der Kontoname auf dem Verzeichnisserver existiert.
Sie verwenden den gleichen Benutzernamen und das gleiche Kennwort für ein Administratorkonto in
Symantec Endpoint Protection Manager
wie im Verzeichnisserver. Wenn sich der Administrator beim Management-Server anmeldet, authentifiziert der Verzeichnis-Server den Benutzernamen und das Kennwort des Administrators. Der Management-Server verwendet die Konfiguration des Verzeichnis-Servers, die Sie hinzugefügt haben, um nach dem Konto auf dem Verzeichnis-Server zu suchen.
Sie können auch prüfen, ob ein Active Directory- oder LDAP-Server ein Administratorkonto ohne Benutzernamen und Kennwort authentifiziert. Ein Konto ohne Benutzername oder Kennwort verfügt über anonymen Zugriff. Sie sollten ein Administratorkonto mit anonymem Zugriff erstellen, damit die Administratoren nie abgemeldet werden, wenn sich das Kennwort des Verzeichnis-Servers ändert.
Auf dem Windows 2003 Active Directory-Server ist die anonyme Authentifizierung standardmäßig deaktiviert. Daher wird, wenn Sie einem Administratorkonto einen Verzeichnisserver mit einem anonymen Benutzernamen hinzufügen und auf "
Konto prüfen
" klicken, die Fehlermeldung "
Kontoauthentifizierung fehlgeschlagen
" angezeigt. Um dieses Problem zu umgehen, erstellen Sie zwei Verzeichnis-Servereinträge: einen zum Testen und einen für den anonymen Zugriff. Der Administrator kann sich immer noch beim Management-Server unter Verwendung eines gültigen Benutzernamens und eines Kennworts anmelden.
Schritt 1: Hinzufügen mehrerer Verzeichnisserver-Verbindungen
Um die Prüfung für einen anonymen Zugriff einfacher zu machen, fügen Sie mindestens zwei Verzeichnisserver-Einträge hinzu. Verwenden Sie einen Eintrag zur Prüfung der Authentifizierung und den zweiten zur Prüfung des anonymen Zugriffs. Diese Einträge verwenden alle den gleichen Verzeichnisserver mit verschiedenen Konfigurationen.
Standardmäßig befinden sich die meisten Benutzer in CN=Users, es sei denn, sie wurden in eine andere Organisationseinheit verschoben. Benutzer im LDAP-Verzeichnisserver werden unter CN=Users, DC=<
Beispieldomäne
>, DC=local erstellt. Um herauszufinden, wo sich ein Benutzer in LDAP befindet, verwenden Sie ADSIEdit.
Verwenden Sie die folgenden Angaben, um die Verzeichnisserver für dieses Beispiel einzurichten:
  • CN=John Smith
  • OU=test
  • DC=<
    Beispieldomäne
    > geschützte Anwendung
  • DC=local
In dem Beispiel wird das Standard-Active Directory LDAP (389) verwendet, es kann aber auch das Secure LDAP (636) verwendet werden.
  1. Um die Verzeichnisserver-Verbindungen zum Prüfen der Active Directory- und LDAP-Serverauthentifizierung hinzuzufügen, klicken Sie in der Konsole auf
    Admin
    >
    Server
    , wählen Sie den Standardserver aus und klicken Sie auf
    Servereigenschaften bearbeiten
    .
  2. Klicken Sie auf der Registerkarte "
    Verzeichnis-Server
    " auf "
    Hinzufügen
    ".
  3. Fügen Sie auf der Registerkarte
    Allgemein
    die folgenden Verzeichnisserver-Konfigurationen hinzu und klicken Sie dann auf
    OK
    .
    Verzeichnis 1
    • Name:
      <
      Beispieldomäne
      > Active Directory
    • Servertyp:
      Active Directory
    • IP-Adresse oder Name des Servers:
      server01.<
      Beispieldomäne
      >.local
    • Benutzername:
      <
      Beispieldomäne
      >\administrator
    • Kennwort:
      <
      Kennwort des Verzeichnisservers
      > geschützte Anwendung
    Verzeichnis 2
    • Name:
      <
      Beispieldomäne
      > LDAP mit Benutzername
    • Servertyp:
      LDAP
    • IP-Adresse oder Name des Servers:
      server01.<
      Beispieldomäne
      >.local
    • LDAP Port:
      389
    • LDAP-BaseDN:
      DC=< DC=<
      Beispieldomäne
      >, DC=local
    • Benutzername:
      <
      Beispieldomäne
      >\administrator
    • Kennwort:
      < <
      Kennwort des Verzeichnisservers
      > geschützte Anwendung
    Verzeichnis 3
    • Name:
      <
      Beispieldomäne
      > LDAP ohne Benutzername
    • Servertyp:
      LDAP
    • IP-Adresse oder Name des Servers:
      server01.<
      Beispieldomäne
      >.local
    • LDAP Port:
      389
    • LDAP BaseDN:
      <empty>
      Lassen Sie dieses Feld leer, wenn Sie anonymen Zugriff verwenden.
    • Benutzername:
      <empty>
    • Kennwort:
      <empty>
      Wenn Sie auf "
      OK
      " klicken, wird eine Warnung angezeigt. Aber der Verzeichnis-Server ist gültig.
      Wenn Sie versuchen, ein BaseDN ohne einen Benutzernamen und ein Kennwort hinzuzufügen, wird die Warnung angezeigt.
Schritt 2: Hinzufügen mehrerer Administratorkonten
Fügen Sie mehrere Systemadministratorkonten hinzu. Das Konto für den anonymen Zugriff hat keinen Benutzernamen und kein Kennwort.
  1. Um die Administratorkonten mithilfe der Verzeichnisserver-Einträge hinzuzufügen, klicken Sie in der Konsole auf
    Admin
    >
    Administratoren
    und fügen Sie auf der Registerkarte
    Allgemein
    die Administratorkonten aus dem vorherigen Schritt hinzu.
  2. Nachdem Sie ein Administratorkonto hinzugefügt und auf die Option "
    Konto prüfen
    " geklickt haben, wird eine Meldung angezeigt. In einigen Fällen wird die Meldung angezeigt, um die Kontoinformationen für ungültig zu erklären. Der Administrator kann sich jedoch noch bei
    Symantec Endpoint Protection Manager
    einloggen.
  3. Geben Sie auf der Registerkarte "
    Allgemein
    " die folgenden Informationen ein:
    Administrator 1
    • Name:
      <
      Beispieldomäne
      > LDAP ohne Benutzername
    • Servertyp:
      LDAP
    • IP-Adresse oder Name des Servers:
      server01.<
      Beispieldomäne
      >.local
    • LDAP Port:
      389
    • LDAP BaseDN:
      <empty>
      Lassen Sie dieses Feld leer, wenn Sie anonymen Zugriff verwenden.
    • Benutzername:
      <empty>
    • Kennwort:
      <empty>
      Wenn Sie auf "
      OK
      " klicken, wird eine Warnung angezeigt. Aber der Verzeichnis-Server ist gültig.
      Wenn Sie versuchen, ein BaseDN ohne einen Benutzernamen und ein Kennwort hinzuzufügen, wird die Warnung angezeigt.
    Administrator 2
    • Benutzername:
      john
    • Vollständiger Name:
      John Smith
    • E-Mail-Adresse:
      [email protected]
      Beispieldomäne
      >.local
    • Klicken Sie auf der Registerkarte
      Zugriffsrechte
      auf
      Systemadministratoren
      .
    • Klicken Sie auf der Registerkarte
      Authentifizierung
      auf
      Verzeichnisauthentifizierung
      .
      Wählen Sie in der Dropdown-Liste "
      Verzeichnisserver
      " die Option <
      Beispieldomäne
      > LDAP mit Benutzername".
      Geben Sie im Feld
      Kontoname
      john
      ein.
      Klicken Sie auf "
      Konto prüfen
      ".
      Der Systemadministrator
      John
      kann sich nicht mit der Verzeichnisauthentifizierung bei
      Symantec Endpoint Protection Manager
      anmelden.
    Administrator 3
    • Benutzername:
      john
    • Vollständiger Name:
      John Smith
    • E-Mail-Adresse:
      [email protected]
      Beispieldomäne
      >.local
    • Klicken Sie auf der Registerkarte
      Zugriffsrechte
      auf
      Systemadministratoren
      .
    • Klicken Sie auf der Registerkarte
      Authentifizierung
      auf
      Verzeichnisauthentifizierung
      .
      Wählen Sie in der Dropdown-Liste "
      Verzeichnisserver
      " die Option <
      Beispieldomäne
      > LDAP mit Benutzername".
      Geben Sie im Feld
      Kontoname
      John Smith
      ein.
      Klicken Sie auf "
      Konto prüfen
      ".
      Der Systemadministrator
      John
      kann sich mit der Verzeichnisauthentifizierung bei
      Symantec Endpoint Protection Manager
      anmelden.
    Administrator 4
    • Benutzername:
      john
    • Vollständiger Name:
      John Smith
    • E-Mail-Adresse:
      [email protected]
      Beispieldomäne
      >.local
    • Klicken Sie auf der Registerkarte
      Zugriffsrechte
      auf
      Systemadministratoren
      .
    • Klicken Sie auf der Registerkarte
      Authentifizierung
      auf
      Verzeichnisauthentifizierung
      .
      Wählen Sie in der Dropdown-Liste "
      Verzeichnisserver
      " die Option <
      Beispieldomäne
      > LDAP ohne Benutzername.
      Geben Sie im Feld
      Kontoname
      John Smith
      ein.
      Klicken Sie auf "
      Konto prüfen
      ".
      Die Kontoauthentifizierung schlägt fehl, aber der Systemadministrator
      John Smith
      kann sich bei
      Symantec Endpoint Protection Manager
      anmelden.