Wyszukiwanie w witrynie

Utwórz jednostki organizacyjne (OU) i włącz obiekt GPO w Zentyal


Po moich poprzednich dwóch samouczkach na temat instalacji, podstawowej konfiguracji i zdalnego dostępu do Zentyal PDC z węzła opartego na systemie Windows, czas zastosować pewien stopień bezpieczeństwa i konfiguracji na swoich użytkownikach i komputerach które są dołączane do Twojej domeny poprzez utworzenie jednostek organizacyjnych (OU) i włączenie GPO (Zasady grupy).

Wymagania

  • Zainstaluj Zentyal jako PDC (podstawowy kontroler domeny) i zintegruj system Windows – część 1
  • Jak zarządzać Zentyal PDC (głównym kontrolerem domeny) z systemu Windows – część 2

Jak być może już wiesz, GPO to oprogramowanie kontrolujące konta użytkowników, komputery, środowiska pracy, ustawienia, aplikacje i inne problemy związane z bezpieczeństwem z centralnego punktu we wszystkich stacjonarnych i serwerowych systemach operacyjnych Windows.

Temat jest bardzo złożony i opublikowano mnóstwo dokumentacji na ten temat, ale ten samouczek omawia podstawowe implementacje dotyczące włączania GPO na użytkownikach i komputerach połączonych z serwerem Zentyal PDC.

Krok 1: Utwórz jednostki organizacyjne (OU)

1. Uzyskaj dostęp do Narzędzi administracyjnych Zentyal Web poprzez domenę lub adres IP i przejdź do Modułu Użytkownicy i komputery –> Zarządzaj.

https://your_domain_name:8443
OR
https://your_zentyal_ip_addess:8443

2. Podświetl swoją domenę, kliknij zielony przycisk „+”, wybierz Jednostka organizacyjna i w wierszu poleceń wpisz „ Nazwa jednostki organizacyjnej” (wybierz nazwę opisową), a następnie kliknij przycisk Dodaj (jednostki organizacyjne można także utworzyć za pomocą Narzędzi administracji zdalnej, np. Użytkownicy i komputer usługi Active Directory lub Zarządzanie polityką grupy).

3. Teraz przejdź do Systemu zdalnego systemu Windows i otwórz skrót Zarządzanie zasadami grupy (jak widzisz nowo utworzoną jednostkę organizacyjną pojawia się w Twojej domenie).

4. Kliknij prawym przyciskiem myszy właśnie utworzoną nazwę organizacji i wybierz Utwórz obiekt GPO w tej domenie i połącz go tutaj…

5. W wierszu Nowy obiekt zasad grupy wprowadź opisową nazwę tego nowego obiektu GPO, a następnie naciśnij przycisk OK.

6. Spowoduje to utworzenie podstawowego pliku GPO dla tej jednostki organizacyjnej, ale nie ma jeszcze skonfigurowanych żadnych ustawień. Aby rozpocząć edycję tego pliku, kliknij prawym przyciskiem myszy nazwę pliku i wybierz Edytuj.

7. Spowoduje to otwarcie Edytora zarządzania zasadami grupy dla tego pliku (te ustawienia będą miały zastosowanie tylko do użytkowników i komputerów przeniesionych do tej jednostki organizacyjnej).

8. Teraz zacznijmy konfigurować kilka prostych ustawień dla tego pliku zasad grupy.

Oto kilka podstawowych ustawień

A. Przejdź do Konfiguracja komputera –> Ustawienia systemu Windows –> Ustawienia zabezpieczeń –> Zasady lokalne –> Opcje zabezpieczeń –> Logowanie interaktywne –> Tekst/tytuł wiadomości dla użytkowników próbujących się zalogować, wpisz tekst w Określ ustawienia zasad w obu ustawieniach i naciśnij OK.

OSTRZEŻENIE: aby zastosować to ustawienie do wszystkich użytkowników domeny i komputerów, należy wybrać i edytować plik domyślnych zasad domeny na liście lasów domen.

B. Przejdź do Konfiguracja użytkownika –> Zasady –> Szablony administracyjne –> Panel sterowania b> –> zabroń dostępu do Panelu sterowania i ustawień komputera, kliknij dwukrotnie i wybierz opcję Włączone.

Możesz dokonać najróżniejszych ustawień bezpieczeństwa związanych z Użytkownikami i Komputerami dla tej Jednostki organizacyjnej (ograniczeniem są tylko Twoje potrzeby i wyobraźnia), np. te na zrzucie ekranu poniżej, ale nie to jest celem tego samouczka (skonfigurowałem to tylko w celu demonstracji).

9. Po wykonaniu wszystkich ustawień zabezpieczeń i konfiguracji zamknij wszystkie okna i wróć do interfejsu administratora sieciowego Zentyal (https://mydomain.com), przejdź do < b>Moduł domeny –> Łącza zasad grupy, zaznacz plik GPO w Lasie swojej domeny, wybierz opcję Łącza włączone i wymuszone i naciśnij przycisk Edytuj, aby zastosować ustawienia dla tej OU.

Jak widać ze zdalnego narzędzia Zarządzanie zasadami grupy systemu Windows, ta zasada została włączona w jednostce organizacyjnej.

Możesz także wyświetlić listę wszystkich ustawień obiektu GPO jednostki organizacyjnej, klikając kartę Ustawienia.

10. Aby móc zobaczyć zastosowane nowe ustawienia, wystarczy dwukrotnie ponownie uruchomić komputery z systemem Windows w tej domenie, aby zobaczyć efekt.

Krok 2: Dodaj użytkowników do jednostek organizacyjnych (OU)

Teraz dodajmy użytkownika do naszej nowej jednostki organizacyjnej, aby skutecznie zastosować te ustawienia. Powiedzmy, że masz pewne wątpliwości co do użytkownika2 w Twojej domenie i zastanawiasz się, czy nałożyć na niego ograniczenia przez obiekt GPO Allowed_User OU.

11. Na zdalnym komputerze z systemem Windows otwórz Użytkownicy i komputery Active Directory, przejdź do Użytkownicy, wybierz użytkownik2 i wykonaj kliknięcie prawym przyciskiem myszy, aby wyświetlić menu.

12. W oknie Przenieś wybierz jednostkę organizacyjną Allowed_Users i naciśnij OK.

Teraz wszystkie ustawienia tego GPO zostaną zastosowane do tego użytkownika, gdy tylko zaloguje się ponownie. Jak udowodniono, ten użytkownik nie ma dostępu do Menedżera zadań, Panelu sterowania ani innych powiązanych ustawień komputera dołączonego do tej domeny.

Wszystkie te ustawienia były możliwe na serwerze z dystrybucją opartą na Linuksie, Zentyal 7.0, z bezpłatnym oprogramowaniem typu open source, Samba4 i LDAP, który działa prawie jak prawdziwy serwer Windows i ma kilka narzędzi do zdalnego zarządzania dostępnych na każdym komputerze stacjonarnym z systemem Windows.