Produktbeschreibung und Anleitung zu abylon LOGON Business

Computer und Sicherheits-Wissen Artikel 39


Lernender Praktikant

Lernender Praktikant am 07.03.2019



Gesamt: 200
Dieses Jahr: 200
Diesen Monat: 25
Diese Woche: 1
Heute: 1


Die Software abylon LOGON Business wurde für die automatische Windowsanmeldung unter Verwendung eines Hardwareschlüssels entwickelt. Die Verwaltung der Anmeldekonten und Einstellungen für das angeschlossene Netzwerk (Domain oder Arbeitsgruppe) erfolgt auf einem zentralen Rechner.


Copyright und Lizenz: Von "Computerhilfe Seibersbach" erstellte Grafik zu Softwareanleitung über abylon LOGON Business.

Inhaltsverzeichnis:

  1. Was ist abylon LOGON Business?
  2. Wie richte ich abylon LOGON Business ein?
  3. Anleitung für die Einrichtung der Serverfunktion
  4. Einstellungsmöglichkeiten für abylon LOGON Business
  5. Wie funktioniert Logon Business (bei Serverfunktion)?

Was ist abylon LOGON Business?

Einfach gesagt, meldet man sich bei abylon LOGON Business mit einem Hardwareschlüssel (Token) an einem Computer oder Laptop an (alle Windowsversionen). Mit dieser Funktion kann man z.B. einen USB-Stick an den Computer anschließen und schon ist man an seinem Computer angemeldet.

Besonderheit bei abylon LOGON Business

Im Gegensatz zu abylon LOGON oder abylon LOGON SSO Pro hat die Software abylon LOGON Business eine extra Funktion, womit alle Konten zentral auf einem Domain-Server oder Arbeitsplatzrechner verwalten werden können.

Wie richte ich abylon LOGON Business ein?

Schritt für Schritt Anleitung:

  • Downloaden sie das Produkt von der abylonsoft-Homepage und führen die Installation durch.
  • Nach der Installation werden sie aufgefordert ein Logon-Konto anzulegen. Bitte legen sie den Hardwareschlüssel (Token) ein, das kann eine Chipkarte, ein USB-Stick, ein RFID-Token oder eine CD/DVD sein.
  • Geben sie die Anmeldedaten, also Anmeldename und Passwort ein, welches sie bei der Windowsanmeldung verwenden. In Zukunft benötigen sie keine Passwörter für die Verwendung des Hardwareschlüssels. Damit haben sie ihr erstes Logonkonto eingerichtet.

Video zur Produktpräsentation von abylon LOGON Business

Anleitung für die Einrichtung der Serverfunktion

Das besondere an abylon LOGON Business ist, dass es über eine Serverfunktion verfügt und damit für Firmen geeignet ist. Alle Konten werden zentral auf dem Server verwaltet.

Einrichtung für abylon LOGON Business mit Serverfunktion

Screenshot abylon LOGON Business Einstellungen
(c) Selbst erstellter Screenshot des abylon LOGON Business Einstellungs-Dialog

Geben sie zuerst den Servernamen oder IP (ohne Backslash) ein, der als Server dienen soll und klicken sie auf "Übernehmen" oder den folgenden Eintrag:

Bildausschnitt des Einstellungsdialoges zur Aktivierung des Client-Server-Synchronisation
(c) Selbst erstellter Bildausschnitt zur Aktivierung des Client-Server-Synchronisation

Dieser Vorgang muss bei allen Clients vorgenommen werden. Bei dieser Funktion wird auf dem Server oder Domäne ein neuer User "LELogonUser_Sync" mit eingeschränkten Rechten erstellt, eine Freigabe "LOGONACCOUNT's" auf dem Betriebssystemlaufwerk (z. B. C:\abylonsoft\LOGONACCOUNT's) angelegt und der Synchronisations-Dienst gestartet. Auf dem Server wird von der Software auf dem Laufwerk C: ein Verzeichnis (C:\abylonsoft\LOGONACCOUNTs) mit der Netzwerkfreigabe (LOGONACCOUNTs) angelegt. In diesem Verzeichnis werden die Kontendateien und optional die Programmeinstellungen gespeichert.

Anschließend können die Logon-Konten für die Nutzer angelegt werden. Jetzt können sie auf jeden Client das Programm installieren und den Server eintragen.

Es ist wichtig, dass der Hilfsuser "LELogonUser_Sync" immer vorhanden und die Freigabe eingerichtet ist!

Wozu wird der User "LELogonUser_Sync" gebraucht?

Der User "LELogonUser_Sync" wird ausschließlich für die Synchronisation innerhalb des Netzwerkes benötigt und braucht auf die Freigabe "LOGONACCOUNTs" Schreib- und Leserechte. Außerdem muss der User "LELogonUser_Sync" NTFS Vollzugriff auf das Freigabe-Verzeichnis und dem öffentlichen Benutzerverzeichnis (z. B. C:\Users\Public\Documents\abylonsoft\apmLogon\DATA\LOGON) haben.

Der Synchronisation-Dienst wird während der Ausführung vom SYSTEM-Kontext in den Userkontext des "LELogonUser_Sync" gesetzt, damit ein Netzzugriff möglich ist. Der User sollte mit seinen Rechten ausschließlich auf die zwei Verzeichnisse beschränkt bleiben und nicht anderweitig verwendet werden.

Optional kann der User und dessen automatisch generiertes Passwort auch geändert werden. In diesem Fall muss die Änderung auch auf jeden Client (gleicher Username und Passwort) durchgeführt werden.

Um die Sicherheit vor externer Manipulation der Kontendateien zu erhöhen, können die Schreibrechte der normalen Anwender im Netzwerk entzogen werden. Schreibrechte benötigt nur der Administrator, SYSTEM-User und der "LELogonUser_Sync".

Warum benötigt man die Freigabe "LOGONACCOUNTs"?

Die Freigabe "LOGONACCOUNTs" wird auf dem Server oder Domäne im Hauptverzeichnis "C:\abylonsoft\LOGONACCOUNTs" automatisch erstellt. In diesem Verzeichnis werden nur die Logon-Konten und optional die Einstellungen gespeichert. Die Logon-Konten sind verschlüsselt und vor unberechtigten Zugriff geschützt. Der Synchronisation-Dienst auf dem Server synchronisiert diese Freigabe mit dem internen Arbeitsverzeichnis C:\Users\Public\Documents\abylonsoft\apmLogon\DATA\LOGON der Clients.

Die im Einstellungsdialog angezeigten Logon-Konten befinden sich alle in dem Arbeitsverzeichnis und werden hier automatisch vom Synchronisation-Dienst in der Freigabe aktualisiert. Der Synchronisation-Prozess kann bis zu einer Minute dauern.

Der auf dem Clients laufende Synchronisation-Dienst greift mit Hilfe des "LELogonUser_Sync" auf die Freigabe der "LOGONACCOUNTs" zu und aktualisiert automatisch im Hintergrund die lokalen Konten auf dem Client. Befindet sich der Client nicht im Netzwerk, wird der letzte Stand der Konten im Arbeitsverzeichnis lokal verwendet, bis der Server wieder online ist.

Optional werden auch auf den Clients geänderte oder neue Konten auf dem Server zurückgespeichert und von dort auf andere Clients verteilt. Diese Option ist nach der Installation aktiv und kann auf dem Server in den abylon LOGON BUSINESS – Einstellungsdialog deaktiviert werden.

Wozu laufen zwei Dienste bei abylon LOGON BUSINESS?

Es laufen zwei identische Dienste (siehe auch Dienstmanager von Windows) auf dem Server und den Clients. Es sind zwei Dienste, weil ein Dienst für lokale administrative Aufgaben im SYSTEM-Kontext ohne Netzzugriff läuft und der zweite für die reine Kontensynchronisation im Kontext von "LELogonUser_Sync" mit Netzzugriff. Die Konten-Synchronisation wird auch schon vor der Anmeldung am PC vorgenommen, was jedoch bei geänderten Einträgen einige Minuten dauern kann.

Einstellungsmöglichkeiten für abylon LOGON Business

In diesem Kapitel wird Aufbau, Funktion und Einstellungsmöglichkeiten von abylon LOGON Business beschrieben.

Screenshot der Logon-Startseite des Einstellungsdialoges
(c) Selbst erstelltes Screenshot der Logon-Einstellungs-Startseite

Wenn sie das Programm öffnen, befinden sie sich im Hauptmenü (siehe oben), wo die notwendigen Einstellungen für abylon LOGON BUSINESS vorgenommen werden. Im ersten Punkt kann die generelle Logon-Funktionalität aktiviert oder deaktiviert werden. Auf dem Server muss diese für die Synchronisation nicht zwingend aktiviert sein. Im nächsten Punkt kann für jeden User ein Logon-Konto angelegt werden. Die Client-Server-Einstellungen werden in den letzten beiden Punkten optional aktiviert oder deaktiviert.

Mehr Informationen zur Serverfunktion hier.

Screenshot der Seite Logon-Konten im Einstellungsdialog
(c) Selbst erstelltes Screenshot der Seite Logon-Konten im Einstellungsdialog

Wenn sie auf das Tab "Logon Konten" drücken, erscheint das Fenster (siehe oben). Hier können sie die Konten verwalten (bei der Serverfunktion kann nur der Administrator vom Server aus die Konten bearbeiten).

Jeder Hardwareschlüssel (Token) hat ein oder mehrere freiwählbare Benutzer. Ferner können mehrere Hardwareschlüssel (Token) einem oder mehreren identischen Benutzern zugewiesen werden.

Screenshot der Seite Logon-Einstellungen im Einstellungsdialog
(c) Selbst erstelltes Screenshot der Seite Logon-Einstellungen im Einstellungsdialog

Wenn sie auf auf das Tab "Logon-Einstellungen" drücken, sehen sie das Fenster (siehe oben). Hier können sie alles in drei Kategorien einstellen.

  • In der ersten Kategorie (Für Anmeldung zugelassene Medien) kann man einstellen, welche Hardwareschlüssel für die Anmeldung zugelassen werden.
  • In der zweiten Kategorie (Anmeldeverhalten) stellt man ein, wie die Anmeldung abläuft. Zum Beispiel: ob bei der Anmeldung zusätzlich ein Anmeldekennwort notwendig ist.
  • In der dritten Kategorie (Zertifikats-Einstellung): Hier können spezielle Zertifikatsoptionen aktiviert oder deaktiviert werden, um die Sicherheit zu erhöhen oder Fehler von diversen CSP (Crypto Service Provider) - Anbietern zu kompensieren.

Wie funktioniert Logon Business?

Serversynchronisation:

Die Serversynchronisation erfolgt i.d.R. vom internen Arbeitsverzeichnis "C:\Users\Public\Documents\abylonsoft\apmLogon\DATA\LOGON" auf die Freigabe "C:\abylonsoft\LOGONACCOUNTs" bzw. reine Freigabe "LOGONACCOUNTs". Das bedeutet, dass die Konten zunächst alle im internen Arbeitsverzeichnis verwaltet und anschließend vom Synchronisationsdienst in die Freigabe gespeichert werden. Die Ansicht im Kontenmanagement-Dialog von abylon LOGON BUSINESS zeigt immer nur die Konten im internen Arbeitsverzeichnis. Wenn die Clients erstellte Kontendateien auf die Freigabe zurückspeichern dürfen, werden auch diese mit dem lokalen Arbeitsverzeichnis des Servers synchronisiert.

Das Sperren und Löschen von Hardwareschlüsseln ist nur auf dem Server möglich. Das neue Anlernen einer gesperrten Schüsselkarte auf dem Client oder Server ist erst wieder möglich, wenn der Administrator die gesperrte Schlüsselkarte endgültig löscht!

Clientsynchronisation:

Die Clientsynchronisierung wird vom Client-Synchronisation-Dienst im Userkontext des LELogonUser_Sync vorgenommen. Der Synchronisation-Dienst prüft in der Server-Freigabe auf Veränderung und übernimmt diese in das lokale Arbeitsverzeichnis "C:\Users\Public\Documents\abylonsoft\apmLogon\DATA\LOGON" des Clients. Sofern auf dem Server die Option "Auf dem Client erstellte Kontendateien mit dem Server synchronisieren" (DEFAULT) aktiviert ist, können auf den Clients erstelle Kontendateien auch zurück in die Server-Freigabe gespeichert werden. Die Ansicht im Kontenmanagement-Dialog von abylon LOGON BUSINESS zeigt immer nur die Konten im internen Arbeitsverzeichnis. Das folgende Diagramm zeigt vereinfacht den technischen Ablauf der Client-Synchronisation:

Screenshot der Seite Logon-Einstellungen mit Admin-Rechten
(c) Selbst erstelltes Screenshot der Seite Logon-Einstellungen mit Admin-Rechten

Wenn z.B. Client A ein neuen Account erstellt, dann wird er auf dem Server bei "LOGONACCOUNTs" zurückgespeichert. Der Dienst sieht die Änderung und teilt diese allen anderen Clients, das heißt dass alle Accounts bei allen Clients zu sehen sind. Die Synchronisations-Dienste der anderen Clients übernimmt das neue Konto vom Server in die lokalen Arbeitsverzeichnisse

Schlussbemerkung

Das Dokument und Video wurde von einem Schülerpraktikanten im Februar 2019 erstellt. Die primären Funktionen der Software abylon LOGON Business sind übersichtlich zusammengefasst. Weitere Informationen zur Logon-Software finden Sie auf der abylonsoft-Homepage. Bei Kontaktanfragen nutzen sie bitte die Kontaktmöglichkeiten im abylonsoft-Impressum.

Werbung