Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=authentication-AD-users-groups

Häufig gestellte Fragen für Active Directory-Benutzer und -Gruppen

Die Firewall fügt Benutzer den importierten Active Directory (AD)-Gruppen hinzu, sobald sie diese authentifiziert hat.

Aus AD importierte Benutzergruppen

Wie importiere ich AD-Gruppen?

Informationen zum Konfigurieren eines AD-Servers und zum Importieren von AD-Gruppen in die Firewall finden Sie unter Konfigurieren der Active Directory-Authentifizierung.

In einem Hochverfügbarkeitscluster werden AD-Gruppen auf das primäre Gerät importiert.

Wird eine Gruppe, die später zum AD-Server hinzugefügt wird, automatisch mit der Firewall synchronisiert?

Nein. Sie müssen die Gruppe mithilfe des Importassistenten importieren. Siehe Active Directory-Gruppen importieren.

Alternativ können Sie die Gruppe auch manuell sowohl auf dem AD-Server als auch auf der Firewall erstellen.

Wann werden AD-Benutzer Gruppen in der Firewall hinzugefügt?

Beim Importieren von AD-Gruppen werden nur die ausgewählten Gruppen importiert. Jedes Mal, wenn sich Benutzer anmelden, listet die Firewall diese Gruppen auf. Authentifizierung > Benutzer, bewertet ihre Gruppen und wendet die Aktualisierungen an.

Was passiert, wenn ein Benutzer keiner Gruppe in der Firewall angehört?

Wenn sich ein Benutzer anmeldet und keine der AD-Gruppen des Benutzers in der Firewall vorhanden ist, weist die Firewall den Benutzer der Standardgruppe zu.

Sie können die Standardgruppe sehen auf Authentifizierung > Dienstleistungen, unter Firewall-Authentifizierungsmethoden: Standardmäßig ist es so: Offene Gruppe.

Sind die primären Gruppeninformationen der Active Directory-Domäne in der Firewall hinzugefügt worden?

Active Directory fügt seine primären Gruppeninformationen nicht den Benutzer- oder Gruppenattributen hinzu. Daher werden diese Informationen auch nicht an die Firewall übermittelt.

Wenn Sie die primäre Standardgruppe der Active Directory beibehalten als Domänenbenutzer: Die Firewall fügt dieser Gruppe keine Benutzer hinzu. Wenn Sie die primäre Gruppe des Active Directory ändern, beispielsweise in Gruppe A, fügt die Firewall dieser Gruppe ebenfalls keine Benutzer hinzu.

Das Verhalten lässt sich anhand der folgenden Beispiele veranschaulichen:

Gehen Sie wie folgt vor:

  1. Unter Windows öffnen Verwaltungstools.

    Die einzelnen Schritte unterscheiden sich je nach Betriebssystem und dessen Version.

  2. Klicken Sie mit der rechten Maustaste auf den Benutzer und wählen Sie aus Eigenschaften und geh zu Mitglied von.

    Der Benutzer gehört zu Gruppe A, Gruppe B und Gruppe C, und die primäre Gruppe ist Domänenbenutzer.

    User properties tab in Active Directory.

  3. Fordern Sie den Benutzer auf, sich im Captive Portal anzumelden.

    Captive portal sign-in page.

    Wenn der Benutzer authentifiziert ist, wird er in die Firewall importiert und der ersten Gruppe (Gruppe A) auf der Liste zugeordnet.

  4. In der Sophos Firewall gehen Sie zu Authentifizierung > Benutzer und überprüfen Sie die Gruppen des Benutzers.

    Authentication group on Sophos Firewall.

Angenommen, die primäre Gruppe in Active Directory ist Gruppe A und nicht Domänenbenutzer: Die Firewall fügt Benutzer der nächsten übereinstimmenden Gruppe in der Liste hinzu (z. B. Gruppe B).

Ändern Sie in diesem Beispiel die primäre Gruppe des Benutzers auf dem AD-Server und überprüfen Sie anschließend die Gruppe des Benutzers in der Firewall.

  1. Unter Windows öffnen Verwaltungstools.

    Die einzelnen Schritte unterscheiden sich je nach Betriebssystem und dessen Version.

  2. Klicken Sie mit der rechten Maustaste auf den gewünschten Benutzer und wählen Sie aus Eigenschaften und geh zu Mitglied von.

  3. Ändern Sie die primäre Gruppe in Gruppe A.

    Die erste Gruppe des Benutzers in der AD-Gruppenliste ist A.

    User properties tab in Active Directory.

  4. Fordern Sie den Benutzer auf, sich im Captive Portal anzumelden.

    Captive portal sign-in page.

    Nach der Authentifizierung des Benutzers wird dieser in die Firewall importiert und der Gruppe B zugeordnet.

  5. In der Sophos Firewall gehen Sie zu Authentifizierung > Benutzer und überprüfen Sie die Gruppe des Benutzers.

    Authentication group on Sophos Firewall.

Welche Priorität haben die AD-Gruppen eines Benutzers in der Firewall?

In der Firewall verfügen AD-Benutzer über eine Hauptgruppe und weitere Gruppenmitgliedschaften.

Gehe zu Authentifizierung > Benutzer Klicken Sie auf den gewünschten Benutzer. Die Gruppen des Benutzers können Sie unter folgendem Link einsehen: Richtlinien wie folgt:

  • Gruppe: Die erste Gruppe eines Benutzers in der Gruppenliste der Firewall bei der Benutzerauthentifizierung. Dies ist die Hauptgruppe des Benutzers in der Firewall. Einige Regeln und Richtlinien unterstützen nur die Hauptgruppe. Siehe Unterstützung für Active Directory-Gruppenmitgliedschaften.
  • Andere Gruppenmitgliedschaften: Andere Gruppen, denen der Benutzer angehört.

Hier ein Beispiel:

Other group membership for users.

Wie importiere ich AD-Gruppen in einen Hochverfügbarkeitscluster?

Verwenden Sie den Importassistenten auf dem primären Gerät. Siehe Active Directory-Gruppen importieren.

Werden verschachtelte Gruppen unterstützt?

Verschachtelte Gruppen werden nicht unterstützt. Sie müssen jede Untergruppe mithilfe des Importassistenten importieren.

Benutzergruppen in der Firewall

Wie ändere ich die Hauptgruppe eines Benutzers in der Firewall?

Die Gruppenbestellung am Authentifizierung > Gruppen in der Firewall bestimmt die Hauptgruppe des Benutzers.

Die Hauptgruppe eines Benutzers in der Firewall kann sich aus folgenden Gründen ändern:

  • Hinzufügen oder Löschen der Benutzergruppe oder Ändern der Gruppenzugehörigkeit des Benutzers in AD.
  • Ändern der Gruppenreihenfolge am Authentifizierung > Gruppen In der Firewall. Ziehen Sie die Hauptgruppe des Benutzers per Drag & Drop unter die anderen Gruppen, denen der Benutzer angehört.

Beim nächsten Anmelden fügt die Firewall den Benutzer basierend auf den in Active Directory vorgenommenen Änderungen Gruppen hinzu oder entfernt ihn daraus. Anschließend wertet sie die Reihenfolge der Gruppen in der Firewall aus und legt die erste Gruppe des Benutzers in der Liste als dessen Hauptgruppe fest.

Wie kann ich die Reihenfolge unter Authentifizierung > Gruppen ändern?

Gehen Sie wie folgt vor:

  1. Gehe zu Authentifizierung > Gruppen.

  2. Klicken Neu bestellen.

    Change group order.

  3. Ziehen Sie die gewünschte Gruppe per Drag & Drop in die gewünschte Gruppe.

  4. Klicken Schließen.
Sind in allen Regeln und Richtlinien Mehrfachmitgliedschaften in Gruppen zulässig?

Manche Regeln und Richtlinien unterstützen die Mitgliedschaft in mehreren Gruppen für Benutzer. Andere unterstützen nur die Hauptgruppe des Benutzers. Siehe Unterstützung für Active Directory-Gruppenmitgliedschaften.

Spielt die Reihenfolge der Gruppen eines Benutzers bei Regeln und Richtlinien, die die Mitgliedschaft in mehreren Gruppen unterstützen, eine Rolle?

Bei Regeln und Richtlinien, die mehrere Gruppenzugehörigkeiten unterstützen, gleicht die Firewall die Regel oder Richtlinie mit dem Datenverkehr ab und wählt dann die erste übereinstimmende Gruppe in der Regel oder Richtlinie aus. Dies kann die Hauptgruppe oder eine der anderen Gruppenzugehörigkeiten sein. Siehe Unterstützung für Active Directory-Gruppenmitgliedschaften.

Unterstützt die Multi-Faktor-Authentifizierung (MFA) die Mitgliedschaft in mehreren Gruppen?

Nein, MFA unterstützt nur die Hauptgruppe des Benutzers. Siehe Authentifizierung.

Verwaltung von Benutzern und Gruppen auf dem AD-Server und der Firewall

Wo kann ich die Richtlinien und Einstellungen für AD-Benutzer und -Gruppen aktualisieren?

Sie können die Richtlinien und Einstellungen aktualisieren auf Authentifizierung > Gruppen: Alternativ können Sie diese für bestimmte Benutzer aktualisieren am Authentifizierung > Benutzer.

Wenn Sie die Richtlinien und Einstellungen für einen Benutzer festlegen, haben diese Vorrang vor den Richtlinien und Einstellungen der Gruppe.

Wann werden Updates auf die Benutzer angewendet?

Sie müssen warten, bis sich der Benutzer das nächste Mal anmeldet. Jedes Mal, wenn sich ein Benutzer anmeldet, wendet die Firewall alle Aktualisierungen an den Gruppen, der Gruppenreihenfolge sowie den Richtlinien und Einstellungen des Benutzers an.

Wie lösche ich AD-Gruppen?

Gehen Sie wie folgt vor:

  1. Löschen Sie sie auf dem AD-Server.
  2. Löschen Sie sie in der Firewall.
Wie lösche ich AD-Benutzer?

Sie müssen die Benutzer sowohl vom AD-Server als auch von der Firewall löschen. Wenn Sie die Benutzer nicht vom AD-Server löschen, werden sie in der Firewall erneut angelegt und bei jedem Anmeldeversuch authentifiziert.

Gehen Sie wie folgt vor:

  1. Löschen Sie zuerst die Benutzer vom AD-Server.

  2. Löschen Sie diese Benutzer in der Firewall wie folgt:

    1. Gehe zu Authentifizierung > Benutzer.

    2. Klicken AD-Benutzer löschen.

      Sie müssen diese Benutzer nicht auswählen. Die Firewall prüft dies mit dem AD-Server und entfernt nur AD-Benutzer, die Sie bereits vom Server gelöscht haben.

      In einem Hochverfügbarkeitscluster werden AD-Benutzer auf dem primären Gerät gelöscht. Die Firewall löscht diese AD-Benutzerdatensätze sowohl vom primären als auch von den Hilfsgeräten.

    Eine Datenbereinigung unterbricht weder das An- noch das Abmelden von Benutzern noch die Benutzerverwaltung.

Kann ich AD-Benutzer und -Gruppen exportieren oder sichern?

Die Firewall exportiert nur Benutzer, die Sie manuell erstellen. Benutzer, die sich über einen externen Authentifizierungsserver wie Active Directory oder RADIUS authentifiziert haben, werden nicht exportiert, obwohl sie beim Anmelden automatisch zur Firewall hinzugefügt werden.

Sie können die importierten AD-Gruppen sowie die manuell in der Firewall erstellten Gruppen exportieren.

Alle Gruppen und Benutzer, einschließlich derer des Authentifizierungsservers, sind Teil der von Ihnen erstellten Backups.

Wie kann ich Benutzer mit mehreren Benutzerprinzipalnamen (UPNs) authentifizieren?

Um Benutzer mit mehreren UPNs desselben Domänenservers zu authentifizieren, müssen Sie für jede Domäne DNS-Einträge mit der IP-Adresse des Domänenservers erstellen und anschließend AD-Server für jede Domäne mit dem AD-Domänennamen als Suchanfrage konfigurieren. Siehe Authentifizierung Multi UPN-Konfiguration.

Verwendung von AD mit Endpunktanmeldungen

Kann ich AD mit Endpunktanmeldungen verwenden?

Ja. Siehe Synchronisierte Benutzer-ID-Authentifizierung.

Unterstützt die synchronisierte Benutzer-ID-Authentifizierung lokal erstellte Benutzer in der Firewall?

Nein. Siehe Synchronisierte Benutzer-ID-Authentifizierung.

Kann die Firewall Remote-Desktop-Server-Benutzer (RDS) ohne AD-Integration authentifizieren?

NEIN.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen