Hozzon létre szervezeti egységeket (OU) és engedélyezze a csoportházirend-objektumokat a Zentyalban
A telepítésről, az alapvető konfigurációkról és a Zentyal PDC Windows-alapú csomópontról való távoli eléréséről szóló előző két oktatóanyagom után itt az ideje, hogy bizonyos fokú biztonságot és konfigurációkat alkalmazzon a felhasználókon és a számítógépeken. amelyek a Szervezeti egységek (OU) létrehozásával és a GPO (Csoportházirend) engedélyezésével csatlakoznak a domainjéhez.
Követelmények
- Telepítse a Zentyalt PDC-ként (elsődleges tartományvezérlőként), és integrálja a Windows rendszert – 1. rész
- A Zentyal PDC (elsődleges tartományvezérlő) kezelése a Windows rendszerből – 2. rész
Amint azt már valószínűleg tudja, a GPO egy olyan szoftver, amely a felhasználói fiókokat, számítógépeket, munkakörnyezeteket, beállításokat, alkalmazásokat és egyéb biztonsággal kapcsolatos problémákat vezérli az összes Windows asztali és szerver operációs rendszer központi pontjáról.
Ez a téma nagyon összetett, és rengeteg dokumentációt tettek közzé a témában, de ez az oktatóanyag néhány alapvető megvalósítást ismertet a GPO engedélyezésével kapcsolatban a Zentyal PDC-szerverhez< csatlakoztatott számítógépeken és felhasználókon..
1. lépés: Szervezeti egységek (OU) létrehozása
1. Domain vagy IP-címen keresztül nyissa meg a Zentyal webes felügyeleti eszközöket, és lépjen a Felhasználók és számítógépek modul –> Kezelés elemre. >.
https://your_domain_name:8443
OR
https://your_zentyal_ip_addess:8443
2. Jelölje ki domainjét, kattintson a zöld „+” gombra, válassza a Szervezeti egység lehetőséget, és a megjelenő párbeszédpanelen írja be a „ Szervezeti egység neve” (válassz egy leíró nevet), majd lődd le a Hozzáadás gombot (a szervezeti egységeket a Távoli adminisztrációs eszközökből is létrehozhatod, mint például az Active Directory felhasználók és számítógép vagy Csoportházirend-kezelés).
3. Most lépjen a Windows Remote System oldalára, és nyissa meg a Csoportházirend-kezelés parancsikont (ahogyan az újonnan létrehozott szervezeti egységet láthatja jelenik meg az Ön domainjén).
4. Kattintson a jobb gombbal az imént létrehozott szervezet nevére, és válassza a GPO létrehozása ebben a tartományban, majd csatolja ide... lehetőséget.
5. Az Új csoportházirend-objektum parancssorba írjon be egy leíró nevet ennek az új GPO-nak, majd nyomja meg az OK gombot.
6. Ezzel létrehozza a GPO-alapfájlt ehhez a szervezeti egységhez, de még nincsenek konfigurálva beállítások. A fájl szerkesztésének megkezdéséhez kattintson a jobb gombbal a fájl nevére, és válassza a Szerkesztés lehetőséget.
7. Ezzel megnyitja a fájl Csoportházirend-kezelési szerkesztőjét (ezek a beállítások csak az ebbe a szervezeti egységbe áthelyezett felhasználókra és számítógépekre vonatkoznak).
8. Most kezdjük el néhány egyszerű beállítás konfigurálását ehhez a Csoportházirend-fájlhoz.
Íme néhány alapvető beállítás
A. Lépjen a Számítógép konfigurációja –> Windows-beállítások –> Biztonsági beállítások –> Helyi házirendek< elemre. –> Biztonsági beállítások –> Interaktív bejelentkezés –> Üzenet szövege/címe bejelentkezni próbáló felhasználók számára, írjon be néhány szöveget a következőn: Határozza meg ezt a házirend-beállítást mindkét beállításnál, majd nyomja meg az OK gombot.
FIGYELMEZTETÉS: Ha ezt a beállítást a teljes domain felhasználóira és számítógépeire szeretné alkalmazni, akkor válassza ki és szerkessze az Alapértelmezett tartományházirend fájlt a Domain Forest listában.
B. Navigáljon a Felhasználói konfiguráció –> Irányelvek –> Felügyeleti sablonok –> Vezérlőpult részhez. b> –> a Vezérlőpulthoz és a PC-beállításokhoz való hozzáférés letiltása, kattintson duplán, és válassza az Engedélyezve lehetőséget.
A Felhasználókkal és a Számítógépekkel kapcsolatos mindenféle biztonsági beállítást elvégezhet ehhez a szervezeti egységhez (csak az Ön igényei és a képzelet szab határt), például az alábbi képernyőképen láthatók, de ennek az oktatóanyagnak nem ez a célja (ezt csak bemutatás céljából konfiguráltam).
9. Miután elvégezte az összes biztonsági beállítást és konfigurációt, zárja be az összes ablakot, és lépjen vissza a Zentyal webes adminisztrátori felületre ( https://mydomain.com ), lépjen a következőre: < b>Domain modul –> Csoportházirend-hivatkozások, jelölje ki a csoportházirend-objektum fájlját az Forest domainből, válassza ki a Linkek engedélyezve és Kényszerített lehetőséget. és nyomja meg a Szerkesztés gombot a beállítások alkalmazásához ehhez az OU-hoz.
Amint az a Windows csoportházirend-kezelés távoli eszközből látható, ez a házirend engedélyezve van a szervezeti egységben.
A Beállítások fülre kattintva megtekintheti az összes szervezeti egység csoportházirend-beállításainak listáját.
10. Most, hogy valóban láthassa az új beállítások alkalmazását, csak kétszer indítsa újra az ehhez a tartományhoz csatlakozott Windows-gépeket, hogy láthassa a hatást.
2. lépés: Felhasználók hozzáadása a szervezeti egységekhez (OU)
Most adjunk hozzá egy felhasználót az új szervezeti egységünkhöz, hogy hatékonyan alkalmazzuk ezeket a beállításokat. Tegyük fel, hogy kétségei vannak a domainjén lévő user2-vel és azzal kapcsolatban, hogy milyen korlátozásokat szabhat meg az Allowed_User OU GPO.
11. A Windows távoli gépen nyissa meg az Active Directory - felhasználók és számítógépek elemet, lépjen a Felhasználók elemre, válassza a felhasználó2 lehetőséget, és tegye a következőket. jobb klikk a menü megjelenéséhez.
12. Az Áthelyezés ablakban válassza az Allowed_Users OU-t, és nyomja meg az OK gombot.
Mostantól a GPO összes beállítása érvényes lesz erre a felhasználóra, amint a következő alkalommal újra bejelentkezik. Amint bebizonyosodott, ez a felhasználó nem fér hozzá a Feladatkezelőhöz, a Vezérlőpulthoz vagy más kapcsolódó számítógépbeállításokhoz, amelyek ehhez a tartományhoz csatlakoztak.
Mindezek a beállítások egy Linux alapú disztribúciót, Zentyal 7.0-t futtató szerveren tettek lehetővé, ingyenes nyílt forráskódú szoftverrel, Samba4, és LDAP, amely majdnem úgy működik, mint egy eredeti Windows Server, és néhány távoli felügyeleti eszköz, amely bármely Windows asztali számítógépen elérhető.