Organisatsiooniüksuste (OU) loomine ja GPO-de lubamine (rühmapoliitika) Zentyali PDC-serveris - 3. osa

Pärast kahte eelmist õpetust Zentyal 3.4 PDC installimise, põhikonfiguratsioonide ja kaugjuurdepääsu kohta moodustavad Windowsi põhise sõlme on aeg rakendada teatud määral turvalisust ja konfiguratsioone oma kasutajatele ja arvutitele, mis on teie domeeniga ühendatud organisatsiooniliste üksuste loomise kaudu (OU) ja GPO lubamine (rühmapoliitika).

  1. Installige Zentyal PDC-ga (esmane domeenikontroller) ja integreerige Windows - 1. osa
  2. Zentyali PDC (esmane domeenikontroller) haldamine Windowsis - 2. osa

Nagu te juba teate, on GPO tarkvara, mis kontrollib kasutajakontosid, moodustavad kõigi Windowsi töölaua- ja serverite operatsioonisüsteemide keskpunkti arvutid, töökeskkonnad, seaded, rakendused ja muud turvalisusega seotud probleemid.

See teema on väga keeruline ja sellel teemal on avaldatud palju dokumente, kuid see õpetus hõlmab mõningaid põhilisi rakendusi selle kohta, kuidas lubada GPO-d Zentyal 3.4 PDC-serveriga ühendatud kasutajatel ja arvutitel.

1. samm: looge organisatsiooniüksused (OU)

1. Juurdepääsuks oma Zentyali veebihaldustööriistadele „https:/teie_domeeni_nimi” või „https:/teie_zentyal_ip_addess” kaudu ja minge jaotisse Kasutajate ja arvutite moodul -> Halda .

2. Tõstke oma domeen esile, klõpsake rohelisel nupul „+”, valige Organisatsiooniüksus ja sisestage viip oma „Organisatsiooniüksuse nimi” (valige kirjeldav nimi) ja tulistage seejärel nupule Lisa (OU-sid saab luua ka kaughaldustööriistadest, näiteks Active Directory kasutajad ja arvuti- või rühmapoliitika haldamine).

3. Nüüd minge oma Windowsi kaugsüsteemi ja avage grupipoliitika haldamise otsetee (nagu näete, et teie äsja loodud organisatsiooniüksus kuvatakse teie domeenis).

4. Paremklõpsake oma loodud organisatsiooni nimel ja valige Loo selles domeenis GPO ja linkige see siia ... .

5. Sisestage uue GPO viipale selle uue GPO kirjeldav nimi ja vajutage nuppu OK.

6. See loob teie organisatsiooniüksuse GPO põhifaili, kuid sellel pole veel ühtegi seadistust. Selle faili redigeerimise alustamiseks paremklõpsake sellel faili nimel ja valige Muuda.

7. See avab selle faili jaoks rühmapoliitika haldamise redaktori (need seaded kehtivad ainult sellesse OU-sse teisaldatud kasutajate ja arvutite kohta).

8. Nüüd alustame selle rühmapoliitika faili mõne lihtsa sätte konfigureerimist.

A. Navigeerige jaotisse Arvuti konfiguratsioon -> Windowsi seaded -> Turvaseaded -> Kohalikud eeskirjad -> Turvavalikud -> Interaktiivne sisselogimine -> Sõnumi tekst/pealkiri sisselogimist proovivatele kasutajatele , sisestage tekst Määrake need reegliseaded mõlemas seades ja vajutage nuppu OK.

HOIATUS: Selle sätte rakendamiseks kogu oma domeeni kasutajate ja arvutite jaoks peaksite domeenimetsade loendis valima ja muutma domeeni vaikepoliitika faili.

B. Navigeerige jaotisse Kasutaja seadistused -> Reeglid -> Haldusmallid -> Juhtpaneel -> keelake juurdepääs juhtpaneelile ja arvuti seadetele topeltklõpsake ja valige Lubatud.

Selle organisatsiooniüksuse jaoks saate teha kõikvõimalikke kasutajate ja arvutitega seotud turvaseadeid (ainult teie vajadused ja kujutlusvõime), nagu allpool oleval ekraanipildil, kuid see pole selle õpetuse eesmärk (olen selle konfigureerinud ainult demonstreerimiseks ).

9. Kui olete kõik oma turvaseaded ja seadistused teinud, sulgege kõik aknad ja minge tagasi Zentyali veebiadministraatori liidesesse (https://mydomain.com), minge jaotisse Domeenimoodul -> Grupp Reeglite lingid , tõstke esile oma GPO-fail oma domeenist Mets , valige nii Link lubatud kui ka Jõustatud ja vajutage rakendamiseks nuppu Muuda selle OU seaded.

Nagu näete Windowsi rühmapoliitika haldamise kaugtööriistast, on see poliitika OU-s lubatud.

Samuti näete kõigi oma OU GPO seadete loendit, klõpsates vahekaardil Seaded .

10. Nüüd, et saaksite oma rakendatud uusi seadeid näha, taaskäivitage selle efekti nägemiseks kaks korda oma Windowsi masinad selles domeenis.

2. samm: kasutajate lisamine organisatsiooniüksustesse (OU)

Nüüd saate nende sätete tõhusaks rakendamiseks lisada kasutaja meie uude OU-sse. Ütleme nii, et teil on mõningaid kahtlusi oma domeenis oleva kasutaja2 ja selles osas, milliseid piiranguid on tal seadnud Allowed_User OU GPO.

11. Avage Windowsi kaugmasinas Active Directory kasutajad ja arvutid , navigeerige jaotisse Kasutajad , valige kasutaja2 ja tehke menüü kuvamiseks paremklõps.

12. Valige aknas Teisalda käsk Allowed_Users OU ja vajutage nuppu OK.

Nüüd rakenduvad kõik selle GPO seaded sellele kasutajale kohe, kui ta järgmisel korral uuesti sisse logib. Nagu tõestatud, pole sellel kasutajal juurdepääsu selle domeeniga ühendatud tegumihaldurile, juhtpaneelile ega muudele seotud arvuti seadistustele.

Kõik need seaded olid võimalikud serveris, kus töötab Linux -i põhine levitamine Zentyal 3.4 koos tasuta avatud lähtekoodiga tarkvaraga , Samba4 ja LDAP , mis toimib peaaegu nagu Windows 2003 ehtne server ja mõned kaughaldustööriistad, mis on saadaval mis tahes Windowsi töölaua masinas.