Legen Sie diese Authentifizierung fest, wenn Sie den Windows-Domänen-Controller zur Authentifizierung von Anwendern verwenden, deren Konten auf dem Verzeichnisserver liegen. Anwender können nicht authentifiziert werden, wenn ihre Konten nicht im Verzeichnisserver gespeichert sind. Unter der Windows-Authentifizierung können Sie die Zugriffsbeschränkung für jede im Verzeichnisserver registrierte Gruppe festlegen. Das auf dem Verzeichnisserver gespeicherte Adressbuch kann für das Gerät registriert werden. So kann die Anwender-Authentifizierung erfolgen, ohne zuerst mithilfe des Geräts die individuellen Einstellungen im Adressbuch zu registrieren. Durch das Abrufen von Anwenderinformationen lassen sich falsche Identitäten verhindern, denn die Adresse des Absenders (Von:) wird beim Senden von gescannten Daten durch das Authentifizierungssystem ermittelt.
Wenn Sie das erste Mal auf das Gerät zugreifen, können Sie die für Ihre Gruppe verfügbaren Funktionen verwenden. Wenn Sie nicht in einer Gruppe registriert sind, können Sie die unter "*Standardgruppe" verfügbaren Funktionen verwenden. Nehmen Sie zuvor Einstellungen im Adressbuch vor, um die bestimmten Anwendern zur Verfügung stehenden Funktionen einzuschränken.
Zur automatischen Registrierung der Anwenderinformationen unter der Windows-Authentifizierung empfiehlt es sich, die Kommunikation zwischen Gerät und Domänen-Controller mit SSL zu verschlüsseln. Dazu müssen Sie ein Serverzertifikat für den Domänen-Controller erstellen. Einzelheiten zum Erstellen eines Serverzertifikats siehe Erstellen des Serverzertifikats.
Bei der Verwendung der Windows-Authentifizierung werden auf dem Verzeichnisserver registrierte Benutzerinformationen wie die E-Mail-Adresse eines Nutzers automatisch im Adressbuch des Geräts gespeichert. Auch wenn die Anwenderinformationen, die automatisch im Adressbuch des Gerätes registriert wurden, am Gerät bearbeitet werden, werden sie bei der Authentifizierung automatisch von den Informationen des Verzeichnisservers überschrieben.
In anderen Domänen verwaltete Anwender unterliegen der Anwenderauthentifizierung, können jedoch keine Elemente wie E-Mail-Adressen erhalten.
Wenn Kerberos-Authentifizierung und SSL-Verschlüsselung gleichzeitig eingerichtet sind, kann keine E-Mail-Adresse abgerufen werden.
Wenn Sie einen neuen Anwender im Domänen-Controller erstellt haben und die Option "Anwender muss Passwort bei nächster Anmeldung ändern" bei der Passwortkonfiguration gewählt haben, müssen Sie sich zunächst am Computer anmelden und das Passwort ändern.
Wenn im Gerät die Kerberos-Authentifizierung aktiviert ist, der Authentifizierungsserver aber nur NTLM unterstützt, wird die Authentifizierungsmethode automatisch auf NTLM umgeschaltet.
Wenn der "Gast"-Account auf dem Windows-Server aktiviert ist, können auf dem Domänen-Controller nicht registrierte Anwender authentifiziert werden. Wenn dieser Account aktiviert ist, werden Anwender im Adressbuch registriert und können dann die unter "*Standardgruppe" verfügbaren Funktionen verwenden.
Die Windows-Authentifizierung kann mit einer der beiden folgenden Methoden durchgeführt werden: NTLM- oder Kerberos-Authentifizierung. Die Funktionsanforderungen für diese beiden Methoden werden nachstehend aufgelistet:
Betriebsanforderungen für die NTLM-Authentifizierung
Für die Festlegung der NTLM-Authentifizierung müssen die folgenden Anforderungen erfüllt sein:
Dieses Gerät unterstützt die NTLMv1- und NTLMv2-Authentifizierung.
Richten Sie einen Domänen-Controller in der zu verwendenden Domäne ein.
Diese Funktion wird von den unten aufgeführten Betriebssystemen unterstützt. Um Anwenderinformationen bei Ausführung von Active Directory zu erhalten, verwenden Sie LDAP. Wenn Sie LDAP verwenden, empfehlen wir die Verwendung von SSL zur Verschlüsselung der Kommunikation zwischen dem Gerät und dem LDAP-Server. SSL-Verschlüsselung ist nur möglich, wenn der LDAP-Server TLSv1 oder SSLv3 unterstützt.
Windows Server 2003/2003 R2
Windows Server 2008/2008 R2
Windows Server 2012/2012 R2
Betriebsanforderungen für die Kerberos-Authentifizierung
Für die Festlegung der Kerberos-Authentifizierung müssen die folgenden Anforderungen erfüllt sein:
Richten Sie einen Domänen-Controller in der zu verwendenden Domäne ein.
Das Betriebssystem muss KDC (Key Distribution Center) unterstützen. Um Anwenderinformationen bei Ausführung von Active Directory zu erhalten, verwenden Sie LDAP. Wenn Sie LDAP verwenden, empfehlen wir die Verwendung von SSL zur Verschlüsselung der Kommunikation zwischen dem Gerät und dem LDAP-Server. SSL-Verschlüsselung ist nur möglich, wenn der LDAP-Server TLSv1 oder SSLv3 unterstützt. Kompatible Betriebssysteme sind nachstehend aufgelistet:
Windows Server 2003/2003 R2
Windows Server 2008/2008 R2
Windows Server 2012/2012 R2
Um die Kerberos-Authentifizierung unter Windows Server 2008 verwenden zu können, installieren Sie das Service Pack 2 oder höher.
Die Übertragung von Daten zwischen dem Gerät und dem KDC-Server wird verschlüsselt, wenn die Kerberos-Authentifizierung aktiviert ist. Informationen zum Festlegen der verschlüsselten Übertragung siehe Verschlüsselungseinstellung für die Kerberos-Authentifizierung.
Die zulässigen Zeichen, die für Login-Anwendernamen und -Passwörter verwendet werden können, finden Sie unter Verwendbare Zeichen für Anwendernamen und Passwörter.
Wenn Sie anschließend auf das Gerät zugreifen, können Sie alle für Ihre Gruppe und für Sie als individueller Anwender verfügbaren Funktionen verwenden.
Anwender, die in mehreren Gruppen registriert sind, können alle Funktionen verwenden, die für diese Gruppen verfügbar sind.
Unter der Windows-Authentifizierung müssen Sie kein Server-Zertifikat erstellen, es sei denn, Sie wollen automatisch Anwenderinformationen, z. B. Anwendernamen, mit SSL registrieren.