FAQs für Active Directory-Benutzer und -Gruppen

Die Firewall fügt Benutzer den importierten Active Directory (AD)-Gruppen hinzu, wenn sie diese authentifiziert.

Aus AD importierte Benutzergruppen

Wie importiere ich AD-Gruppen?

Informationen zum Konfigurieren eines AD-Servers und zum Importieren von AD-Gruppen in die Firewall finden Sie unter Konfigurieren der Active Directory-Authentifizierung.

Importieren Sie in einem Hochverfügbarkeitscluster AD-Gruppen auf das primäre Gerät.

Wird eine Gruppe nachträglich zum AD-Server hinzugefügt, wird sie automatisch mit der Firewall synchronisiert?

Nein. Sie müssen die Gruppe mit dem Import-Assistenten importieren. Siehe Active Directory-Gruppen importieren.

Alternativ können Sie die Gruppe sowohl auf dem AD-Server als auch auf der Firewall manuell erstellen.

Wann werden AD-Benutzer zu Gruppen in der Firewall hinzugefügt?

Beim Importieren von AD-Gruppen werden nur die von Ihnen ausgewählten Gruppen importiert. Bei jeder Anmeldung werden die Benutzer von der Firewall auf Authentifizierung > Benutzer, wertet ihre Gruppen aus und wendet die Aktualisierungen an.

Was passiert, wenn ein Benutzer nicht Teil einer Gruppe in der Firewall ist?

Wenn sich ein Benutzer anmeldet und keine der AD-Gruppen des Benutzers in der Firewall vorhanden ist, weist die Firewall den Benutzer der Standardgruppe zu.

Sie können die Standardgruppe auf Authentifizierung > Leistungen, unter Firewall-Authentifizierungsmethoden. Standardmäßig ist es Offene Gruppe.

Werden die primären Gruppeninformationen des AD zur Firewall hinzugefügt?

Active Directory fügt seine primären Gruppeninformationen nicht den Benutzer- oder Gruppenattributen hinzu. Daher werden die Informationen nicht zur Firewall hinzugefügt.

Wenn Sie die standardmäßige primäre Gruppe des AD beibehalten als Domänenbenutzer, fügt die Firewall dieser Gruppe keine Benutzer hinzu. Wenn Sie die primäre Gruppe des AD in eine andere ändern, z. B. Gruppe A, fügt die Firewall dieser Gruppe keine Benutzer hinzu.

Sehen Sie sich das Verhalten in den folgenden Beispielen an:

Die primäre AD-Gruppe sind DomänenbenutzerDie primäre AD-Gruppe ist eine andere Gruppe

Gehen Sie wie folgt vor:

Öffnen Sie in Windows Verwaltungstools.

Die Schritte unterscheiden sich je nach Betriebssystem und dessen Version.
Klicken Sie mit der rechten Maustaste auf den Benutzer, wählen Sie Eigenschaften und gehe zu Mitglied von.

Der Benutzer gehört zu Gruppe A, Gruppe B und Gruppe C, und die primäre Gruppe ist Domänenbenutzer.
Bitten Sie den Benutzer, sich beim Captive Portal anzumelden.

Wenn der Benutzer authentifiziert ist, wird er in die Firewall importiert und der ersten Gruppe (Gruppe A) auf der Liste zugeordnet.
Gehen Sie in der Sophos Firewall zu Authentifizierung > Benutzer und überprüfen Sie die Gruppen des Benutzers.

Angenommen, die primäre Gruppe in Active Directory ist Gruppe A und nicht DomänenbenutzerDie Firewall fügt Benutzer der nächsten passenden Gruppe auf der Liste hinzu (z. B. Gruppe B).

Ändern Sie in diesem Beispiel die primäre Gruppe des Benutzers im AD-Server und überprüfen Sie dann die Gruppe des Benutzers in der Firewall.

Öffnen Sie in Windows Verwaltungstools.

Die Schritte unterscheiden sich je nach Betriebssystem und dessen Version.
Klicken Sie mit der rechten Maustaste auf den gewünschten Benutzer, wählen Sie Eigenschaften und gehe zu Mitglied von.
Ändern Sie die primäre Gruppe in Gruppe A.

Die erste Gruppe des Benutzers in der AD-Gruppenliste ist A.
Bitten Sie den Benutzer, sich beim Captive Portal anzumelden.

Wenn der Benutzer authentifiziert ist, wird er in die Firewall importiert und der Gruppe B zugeordnet.
Gehen Sie in der Sophos Firewall zu Authentifizierung > Benutzer und überprüfen Sie die Gruppe des Benutzers.

Welche Priorität haben die AD-Gruppen eines Benutzers in der Firewall?

In der Firewall haben AD-Benutzer eine Hauptgruppe und weitere Gruppenmitgliedschaften.

Gehe zu Authentifizierung > Benutzer und klicken Sie auf den gewünschten Benutzer. Die Gruppen des Benutzers finden Sie unter Richtlinien wie folgt:

Gruppe: Die erste Gruppe des Benutzers in der Gruppenliste der Firewall, wenn dieser authentifiziert wird. Dies ist die Hauptgruppe des Benutzers in der Firewall. Einige Regeln und Richtlinien unterstützen nur die Hauptgruppe. Siehe Unterstützung für Active Directory-Gruppenmitgliedschaften.
Andere Gruppenmitgliedschaften: Andere Gruppen, denen der Benutzer angehört.

Hier ist ein Beispiel:

Wie importiere ich AD-Gruppen in einen Hochverfügbarkeitscluster?

Verwenden Sie den Importassistenten im Primärgerät. Siehe Active Directory-Gruppen importieren.

Werden verschachtelte Gruppen unterstützt?

Verschachtelte Gruppen werden nicht unterstützt. Sie müssen jede Untergruppe mithilfe des Importassistenten importieren.

Benutzergruppen in der Firewall

Wie ändere ich die Hauptgruppe eines Benutzers in der Firewall?

Die Gruppenbestellung auf Authentifizierung > Gruppen in der Firewall bestimmt die Hauptgruppe des Benutzers.

Die Hauptgruppe eines Benutzers in der Firewall kann sich aus folgenden Gründen ändern:

Hinzufügen oder Löschen der Benutzergruppe oder Ändern der Gruppenmitgliedschaft des Benutzers in AD.
Ändern der Gruppenreihenfolge auf Authentifizierung > Gruppen in der Firewall. Ziehen Sie die Hauptgruppe des Benutzers per Drag & Drop unter die anderen Gruppen, zu denen der Benutzer gehört.

Bei der nächsten Anmeldung fügt die Firewall den Benutzer basierend auf den in AD vorgenommenen Änderungen zu Gruppen hinzu oder entfernt ihn daraus. Anschließend wertet sie die Reihenfolge der Gruppen in der Firewall aus und legt die erste Gruppe des Benutzers in der Liste als Hauptgruppe fest.

Wie ändere ich die Reihenfolge unter Authentifizierung > Gruppen?

Gehen Sie wie folgt vor:

Gehe zu Authentifizierung > Gruppen.
Klicken Neu anordnen.
Ziehen Sie die gewünschte Gruppe per Drag & Drop.
Klicken Schließen.

Unterstützen alle Regeln und Richtlinien mehrere Gruppenmitgliedschaften?

Einige Regeln und Richtlinien unterstützen die Mitgliedschaft mehrerer Gruppen für Benutzer. Andere unterstützen nur die Hauptgruppe des Benutzers. Siehe Unterstützung für Active Directory-Gruppenmitgliedschaften.

Ist die Reihenfolge der Gruppen eines Benutzers bei Regeln und Richtlinien, die mehrere Gruppenmitgliedschaften unterstützen, von Bedeutung?

Bei Regeln und Richtlinien, die mehrere Gruppenmitgliedschaften unterstützen, gleicht die Firewall die Regel oder Richtlinie mit dem Datenverkehr ab und wählt dann die erste passende Gruppe in der Regel oder Richtlinie aus. Dies kann die Hauptgruppe oder eine der anderen Gruppenmitgliedschaften sein. Siehe Unterstützung für Active Directory-Gruppenmitgliedschaften.

Unterstützt die Multi-Faktor-Authentifizierung (MFA) mehrere Gruppenmitgliedschaften?

Nein, MFA unterstützt nur die Hauptgruppe des Benutzers. Siehe Authentifizierung.

Verwalten von Benutzern und Gruppen im AD-Server und in der Firewall

Wo aktualisiere ich die Richtlinien und Einstellungen für AD-Benutzer und -Gruppen?

Sie können die Richtlinien und Einstellungen aktualisieren auf Authentifizierung > GruppenAlternativ können Sie diese für bestimmte Benutzer aktualisieren auf Authentifizierung > Benutzer.

Wenn Sie die Richtlinien und Einstellungen für einen Benutzer festlegen, haben diese Vorrang vor den Richtlinien und Einstellungen der Gruppe.

Wann werden Updates auf Benutzer angewendet?

Sie müssen warten, bis sich der Benutzer das nächste Mal anmeldet. Bei jeder Anmeldung eines Benutzers wendet die Firewall alle Aktualisierungen auf die Gruppen, die Gruppenreihenfolge sowie die Richtlinien und Einstellungen des Benutzers an.

Wie lösche ich AD-Gruppen?

Gehen Sie wie folgt vor:

Löschen Sie sie auf dem AD-Server.
Löschen Sie sie in der Firewall.

Wie lösche ich AD-Benutzer?

Sie müssen die Benutzer sowohl vom AD-Server als auch von der Firewall löschen. Wenn Sie die Benutzer nicht vom AD-Server löschen, werden sie in der Firewall erneut erstellt und beim Anmeldeversuch authentifiziert.

Gehen Sie wie folgt vor:

Löschen Sie zuerst die Benutzer vom AD-Server.
Löschen Sie diese Benutzer in der Firewall wie folgt:
1. Gehe zu Authentifizierung > Benutzer.
2. Klicken AD-Benutzer bereinigen.
  
  Sie müssen diese Benutzer nicht auswählen. Die Firewall prüft den AD-Server und löscht nur AD-Benutzer, die Sie bereits vom Server gelöscht haben.
  
  Löschen Sie in einem Hochverfügbarkeitscluster AD-Benutzer auf dem primären Gerät. Die Firewall löscht diese AD-Benutzerdatensätze vom primären und sekundären Gerät.
Eine Bereinigung unterbricht nicht die Anmeldung, Abmeldung und Benutzerabrechnung der Benutzer.

Kann ich AD-Benutzer und -Gruppen exportieren oder eine Sicherungskopie davon erstellen?

Die Firewall exportiert nur manuell erstellte Benutzer. Benutzer, die über einen externen Authentifizierungsserver wie AD und RADIUS authentifiziert wurden, werden nicht exportiert, obwohl sie bei der Anmeldung automatisch zur Firewall hinzugefügt werden.

Sie können die AD-Gruppen exportieren, die Sie importieren, und die, die Sie manuell in der Firewall erstellen.

Alle Gruppen und Benutzer, einschließlich derer vom Authentifizierungsserver, sind Teil der von Ihnen erstellten Sicherungen.

Wie kann ich Benutzer mit mehreren Benutzerprinzipalnamen (UPNs) authentifizieren?

Um Benutzer mit mehreren UPNs zu authentifizieren, die zum selben Domänenserver gehören, müssen Sie DNS-Einträge für jede Domäne mit der IP-Adresse des Domänenservers erstellen und anschließend AD-Server für jede Domäne mit dem AD-Domänennamen als Suchabfrage konfigurieren. Siehe Authentifizierung Multi-UPN-Konfiguration.

Verwenden von AD mit Endpunktanmeldungen

Kann ich AD mit Endpunktanmeldungen verwenden?

Ja. Siehe Synchronisierte Benutzer-ID-Authentifizierung.

Unterstützt die synchronisierte Benutzer-ID-Authentifizierung lokal erstellte Benutzer in der Firewall?

Nein. Siehe Synchronisierte Benutzer-ID-Authentifizierung.

Kann die Firewall Remote Desktop Server (RDS)-Benutzer ohne AD-Integration authentifizieren?

NEIN.

Weitere Ressourcen

Konfigurieren der Active Directory-Authentifizierung