Opprett organisasjonsenheter (OU) og aktiver GPO i Zentyal


Etter de to foregående veiledningene mine om installasjon, grunnleggende konfigurasjoner og ekstern tilgang til Zentyal PDC fra en Windows-basert node, er det på tide å bruke en viss grad av sikkerhet og konfigurasjoner på brukerne og datamaskinene dine som er koblet til domenet ditt ved å opprette Organisasjonsenheter (OU) og aktivere GPO (Group Policy).

Krav

  • Installer Zentyal som PDC (Primary Domain Controller) og integrer Windows-systemet – del 1
  • Hvordan administrere Zentyal PDC (primær domenekontroller) fra Windows-systemet – del 2

Som du kanskje allerede vet, er GPO programvare som kontrollerer brukerkontoer, datamaskiner, arbeidsmiljøer, innstillinger, applikasjoner og andre sikkerhetsrelaterte problemer fra et sentralt punkt på alle Windows-stasjonære og serveroperativsystemer.

Dette emnet er svært komplekst og tonnevis med dokumentasjon er publisert om emnet, men denne veiledningen dekker noen grunnleggende implementeringer om hvordan du aktiverer GPO på brukere og datamaskiner som er koblet til en Zentyal PDC-server<.

Trinn 1: Opprett organisasjonsenheter (OU)

1. Få tilgang til Zentyal-nettadministrasjonsverktøyene via domene eller IP-adresse og gå til Brukere og datamaskiner –> Administrer.

https://your_domain_name:8443
OR
https://your_zentyal_ip_addess:8443

2. Marker domenet ditt, klikk på den grønne «+»-knappen, velg Organisasjonsenhet, og skriv inn « når du blir spurt. Organisasjonsenhetsnavn” (velg et beskrivende navn) og skyt deretter på Legg til (OU-er kan også opprettes fra Eksterne administrasjonsverktøy som Active Directory-brukere og datamaskin eller Group Policy Management).

3. Gå nå til Windows Remote System og åpne snarveien Gruppepolicyadministrasjon (som du kan se den nyopprettede organisasjonsenheten) vises på domenet ditt).

4. Høyreklikk på organisasjonsnavnet du nettopp opprettet, og velg Opprett en GPO i dette domenet, og koble det til her...

5. På ledeteksten Ny GPO, skriv inn et beskrivende navn for denne nye GPO og trykk deretter OK.

6. Dette oppretter GPO Basic-filen for denne organisasjonsenheten, men har ingen innstillinger konfigurert ennå. For å begynne å redigere denne filen, høyreklikk på dette filnavnet og velg Rediger.

7. Dette vil åpne Gruppepolicyadministrasjonsredigering for denne filen (disse innstillingene vil bare gjelde for brukere og datamaskiner som flyttes til denne organisasjonsenheten).

8. La oss nå begynne å konfigurere noen enkle innstillinger for denne gruppepolicyfilen.

Her er noen grunnleggende innstillinger

A. Naviger til Datamaskinkonfigurasjon –> Windows-innstillinger –> Sikkerhetsinnstillinger –> Lokale retningslinjer –> Sikkerhetsalternativer –> Interaktiv pålogging –> Meldingstekst/tittel for brukere som prøver å logge på, skriv inn litt tekst på Definer disse policyinnstillingene på begge innstillingene og trykk OK.

ADVARSEL: For å bruke denne innstillingen på hele domenebrukerne og datamaskinene dine så langt bør du velge og redigere standard domenepolicyfil på domeneskoglisten.

B. Naviger til brukerkonfigurasjon –> Retningslinjer –> Administrative maler –> Kontrollpanel b> –> forby tilgang til kontrollpanel og PC-innstillinger, dobbeltklikk og velg Aktivert.

Du kan gjøre alle slags sikkerhetsinnstillinger knyttet tilbrukere og datamaskiner for denne organisasjonsenheten (bare dine behov og fantasi setter grenser) som de i skjermbildet nedenfor, men det er ikke formålet med denne opplæringen (jeg har konfigurert dette kun for å demonstrere).

9. Etter at du har gjort alle sikkerhetsinnstillingene og konfigurasjonene dine, lukk alle vinduer og gå tilbake til Zentyal Web Admin Interface ( https://mydomain.com ), gå til < b>Domenemodul –> Gruppepolicykoblinger, marker GPO-filen fra domenet ditt Forest, velg både Links Enabled og Enforced og trykk på Rediger-knappen for å bruke innstillinger for denne OU.

Som du kan se fra fjernverktøyet Windows Group Policy Management, har denne policyen blitt aktivert på OU.

Du kan også se en liste over alle OU GPO-innstillingene dine ved å klikke på Innstillinger-fanen.

10. Nå for å faktisk kunne se de nye innstillingene dine brukt, er det bare å starte på nytt to ganger Windows-maskinene dine ble med på dette domenet for å se effekten.

Trinn 2: Legg til brukere til organisasjonsenheter (OU)

La oss nå legge til en bruker i vår nye OU for å bruke disse innstillingene effektivt. La oss si at du er i tvil om bruker2 på domenet ditt og hva han skal ha restriksjoner pålagt av Allowed_User OU GPO.

11. På Windows Remote Machine, åpne Active Directory-brukere og datamaskiner, naviger til Brukere, velg bruker2, og gjør et høyreklikk for å se menyen.

12. Velg Allowed_Users OU og trykk OK.

Nå vil alle innstillinger på denne GPO gjelde for denne brukeren så snart han logger på igjen neste gang. Som bevist har ikke denne brukeren tilgang til Task Manager, Kontrollpanel eller andre relaterte datamaskininnstillinger som er koblet til dette domenet.

Alle disse innstillingene ble gjort mulig under en server som kjører en Linux-basert distribusjon, Zentyal 7.0, med gratis åpen kildekode-programvare, Samba4, og LDAP, som fungerer nesten som en Windows ekte server og noen få fjernadministrasjonsverktøy som er tilgjengelige på alle Windows-stasjonære maskiner.