Benutzer-Computer Zuordnung (UMA) im SafeGuard Management Center

Im SafeGuard Management Center kann eine Zuordnung von Benutzern zu bestimmten Computern vorgenommen werden. Wird ein Benutzer im SafeGuard Management Center einem Computer zugeordnet (oder umgekehrt), wird diese Zuweisung in die UMA aufgenommen. Seine Benutzerdaten (Zertifikat, Schlüssel usw.) werden auf diesen Rechner repliziert, und er kann sich an diesen Computer anmelden. Wenn ein Benutzer aus der UMA entfernt wird, werden alle Benutzerdaten automatisch aus der SafeGuard POA gelöscht. Der Benutzer kann sich dann nicht mehr an der SafeGuard POA mit Benutzername und Kennwort anmelden.

Anmerkung: Um die Benutzer und Computer Zuordnung unter Benutzer & Computer einzusehen, benötigen Sie mindestens das Zugriffsrecht Schreibgeschützt für eines der beteiligten Objekte (Benutzer oder Computer). Um die Zuweisung zu definieren oder zu ändern, benötigen Sie das Zugriffsrecht Voller Zugriff für beide beteiligten Objekte. Die UMA-Anzeige zeigt die verfügbaren Benutzer/Maschinen gefiltert nach Ihren Zugriffsrechten. In der UMA-Anzeige, die die Computern zugewiesenen Benutzer und umgekehrt zeigt, werden Objekte, für die Sie nicht die erforderlichen Zugriffsrechte haben, zu Ihrer Information angezeigt. Sie können die Zuordnung jedoch nicht ändern.

Im Rahmen dieser Zuordnung kann auch festgelegt bzw. geändert werden, wem es erlaubt ist, weiteren Benutzern die Anmeldung an diesen Computer zu ermöglichen.

Unter Typ wird im SafeGuard Management Center angezeigt, wie der Benutzer in die SafeGuard Enterprise Datenbank aufgenommen wurde. Übernommen gibt an, dass der Benutzer auf einem Endpoint in die UMA für den Computer aufgenommen worden ist.

Anmerkung: Wird im SafeGuard Management Center keine Zuweisung vorgenommen und kein Benutzer als Besitzer festgelegt, wird der Benutzer, der sich als erster nach der Installation von SafeGuard Enterprise an den Computer anmeldet, als Besitzer eingetragen. Dieser Benutzer kann weiteren Benutzern die Anmeldung an diesem Computer zu ermöglichen, siehe Registrieren weiterer SafeGuard Enterprise-Benutzer. Werden im SafeGuard Management Center diesem Computer nachträglich Benutzer zugewiesen, so können sich diese dann auch in der SafeGuard Power-On Authentication anmelden. Voraussetzung dafür ist allerdings, dass es sich um komplette Benutzer (deren Zertifikat und Schlüssel bereits existieren) handelt. Die Erlaubnis durch den Besitzer des Computers ist dann nicht notwendig.

Über folgende Einstellungen kann festgelegt werden, wem es erlaubt ist, weitere Benutzer in die UMA aufzunehmen:

Beispiel:

Das folgende Beispiel zeigt, wie Sie im SafeGuard Management Center festlegen können, dass sich ausschließlich drei bestimmte Benutzer (Benutzer_a, Benutzer_b, Benutzer_c) auf dem Computer Computer_ABC anmelden können.

Ausgangssituation: Sie legen im SafeGuard Management Center das gewünschte Verhalten fest. SafeGuard Enterprise wird in der Nacht auf allen Endpoints installiert. Am Morgen sollen sich die Benutzer an ihrem Computer anmelden können.

  1. Weisen Sie im SafeGuard Management Center Benutzer_a, Benutzer_b, Benutzer_c dem Computer Computer_ABC zu. (Benutzer & Computer -> Computer_ABC auswählen -> Benutzer via Drag&Drop zuweisen). Damit haben Sie eine UMA festgelegt.

  2. Setzen Sie in einer Richtlinie vom Typ Spezifische Computereinstellungen die Einstellung Registrieren von neuen SGN-Benutzern erlauben auf Niemand. Da es Benutzer_a, Benutzer_b, Benutzer_c nicht erlaubt werden soll, Benutzer hinzuzufügen, ist es nicht notwendig, einen Benutzer als Besitzer festzulegen.

  3. Weisen Sie die Richtlinie dem Computer zu bzw. an einer Stelle in der Verzeichnisstruktur zu, wo sie für den Computer wirksam wird.

Bei der Anmeldung des ersten Benutzers an Computer_ABC wird ein Autologon für die SafeGuard POA ausgeführt. Die Computerrichtlinien werden an den Endpoint geschickt. Da Benutzer_a in der UMA eingetragen ist, wird er im Zuge der Windows-Anmeldung komplettiert. Seine Benutzerrichtlinien, Zertifikate und Schlüssel werden an den Endpoint geschickt. Die SafeGuard POA wird aktiviert.

Anmerkung: Der Benutzer kann über die Statusausgabe im SafeGuard Tray Icon überprüfen, wann dieser Vorgang abgeschlossen ist.

Benutzer_a existiert nun als kompletter Benutzer in SafeGuard Enterprise und kann sich bei der nächsten Anmeldung in der SafeGuard POA authentisieren und wird automatisch angemeldet.

Benutzer_a fährt nun den Computer herunter und Benutzer_b will sich anmelden. Da die SafeGuard POA aktiviert ist, findet kein Autologon mehr statt.

Für die Benutzer_b und Benutzer_c gibt es nun zwei Möglichkeiten, Zugang zu diesem Computer zu erlangen.

In beiden Fällen wird anschließend der Windows-Anmeldedialog angezeigt.

Benutzer_b kann dort seine Windows-Anmeldeinformationen eingeben. Seine Benutzerrichtlinien, Zertifikate und Schlüssel werden an den Endpoint geschickt. Er wird in der SafeGuard POA aktiviert. Benutzer_b existiert nun als kompletter Benutzer in SafeGuard Enterprise. Er kann sich bei der nächsten Anmeldung in der SafeGuard POA authentisieren und wird automatisch angemeldet.

Es wurde in der Computerrichtlinie zwar festgelegt, dass auf diesem Computer niemand Benutzer importieren darf, da sie sich aber bereits in der UMA befinden, können Benutzer_b und Benutzer_c durch die Windows-Anmeldung dennoch komplettiert und in der SafeGuard POA aktiviert werden.

Alle anderen Benutzer werden nicht in die UMA aufgenommen und können sich daher niemals an der SafeGuard Power-on Authentication authentisieren. Alle Benutzer, die sich an Windows anmelden und nicht Benutzer_a, Benutzer_b oder Benutzer_c sind, werden in diesem Szenario nicht in die UMA aufgenommen und daher auch nie in der SafeGuard POA aktiv.

Sie können im SafeGuard Management Center später weitere Benutzer hinzufügen. Allerdings steht ihr Schlüsselring nach der ersten Anmeldung noch nicht zur Verfügung, da eine Synchronisierung erst durch diese Anmeldung angestoßen wird. Nach einer erneuten Anmeldung steht auch der Schlüsselring zur Verfügung und die Benutzer können entsprechend den geltenden Richtlinien auf den Computer zugreifen. Haben sie sich zuvor noch an keinem Endpoint erfolgreich angemeldet, können sie wie zuvor beschrieben aufgenommen werden.
Anmerkung: Wenn das letzte gültige Benutzerzertifikat von einem SO oder MSO aus der UMA entfernt wurde, kann jeder Benutzer die SafeGuard POA des entsprechenden Computers absolvieren. Dasselbe gilt, wenn sich die Domain des Endpoints ändert. Dann sind nur Windows-Anmeldeinformationen zum Anmelden am Computer, zum Reaktivieren der SafeGuard POA und das Hinzufügen als neuer Besitzer nötig.