Поиск по сайту:

Создайте организационные подразделения (OU) и включите GPO в Zentyal

После моих двух предыдущих руководств по установке, базовым конфигурациям и удаленному доступу к Zentyal PDC с узла на базе Windows пришло время применить некоторую степень безопасности и настроек к вашим пользователям и компьютерам. которые присоединены к вашему домену путем создания организационных подразделений (OU) и включения GPO (групповой политики).

Требования

  • Установите Zentyal в качестве PDC (основного контроллера домена) и интегрируйте систему Windows – часть 1
  • Как управлять Zentyal PDC (основным контроллером домена) из системы Windows — часть 2

Как вы, возможно, уже знаете, GPO — это программное обеспечение, которое контролирует учетные записи пользователей, компьютеры, рабочую среду, настройки, приложения и другие вопросы, связанные с безопасностью, из центральной точки во всех настольных и серверных операционных системах Windows.

Эта тема очень сложна, и по ней опубликовано множество документации, но в этом руководстве рассматриваются некоторые базовые реализации того, как включить GPO для пользователей и компьютеров, подключенных к Zentyal PDC Server.

Шаг 1. Создайте организационные подразделения (OU).

1. Получите доступ к своим Инструментам веб-администрирования Zentyal через домен или IP-адрес и перейдите в Модуль «Пользователи и компьютеры» –> Управление.

https://your_domain_name:8443
OR
https://your_zentyal_ip_addess:8443

2. Выделите свой домен, нажмите зеленую кнопку «+», выберите Подразделение и в командной строке введите «». Название организационного подразделения» (выберите описательное имя), а затем нажмите Добавить (подразделения также можно создать с помощью Инструментов удаленного администрирования, таких как «Пользователи и компьютер Active Directory» или Управление групповой политикой).

3. Теперь перейдите в свою Удаленную систему Windows и откройте ярлык Управление групповой политикой (так вы увидите вновь созданное Подразделение организации). появится в вашем домене).

4. Щелкните правой кнопкой мыши только что созданное Название организации и выберите Создать объект групповой политики в этом домене и связать его здесь…

5. В ответ на приглашение Новый объект групповой политики введите описательное имя для этого нового GPO и нажмите ОК.

6. При этом будет создан базовый файл объекта групповой политики для этого подразделения, но для него еще не настроены параметры. Чтобы начать редактирование этого файла, щелкните его имя правой кнопкой мыши и выберите Редактировать.

7. Откроется Редактор управления групповыми политиками для этого файла (эти настройки будут применяться только к пользователям и компьютерам, перемещенным в это подразделение).

8. Теперь давайте начнем настраивать некоторые простые параметры для этого файла групповой политики.

Вот некоторые основные настройки

A. Перейдите к Конфигурация компьютера –> Настройки Windows –> Настройки безопасности –> Локальные политики –> Параметры безопасности –> Интерактивный вход –> Текст/заголовок сообщения для пользователей, пытающихся войти в систему, введите текст в >Определите параметры этой политики для обеих настроек и нажмите ОК.

ПРЕДУПРЕЖДЕНИЕ. Чтобы применить этот параметр ко всем пользователям и компьютерам вашего домена, вам следует выбрать и отредактировать файл политики домена по умолчанию в списке леса домена.

B. Перейдите к конфигурации пользователя –> Политики –> Административные шаблоны –> Панель управления. b> –> запретить доступ к панели управления и настройкам ПК, дважды щелкните мышью и выберите «Включено».

Вы можете задать все виды настроек безопасности, связанные с пользователями и компьютерами для этого организационного подразделения (ограничиваются только ваши потребности и воображение), например те, что на скриншоте ниже, но это не цель данного руководства (я настроил это только для демонстрации).

9. После того, как вы выполнили все настройки безопасности и конфигурации, закройте все окна и вернитесь в интерфейс веб-администратора Zentyal ( https://mydomain.com), перейдите по адресу 9.. b>Модуль домена –> Ссылки групповой политики, выделите файл GPO из вашего домена Лес, выберите Ссылки включены и принудительно и нажмите кнопку Изменить, чтобы применить настройки для этого подразделения.

Как видно из удаленного инструмента Управление групповыми политиками Windows, эта политика включена в подразделении.

Вы также можете просмотреть список всех настроек объекта групповой политики вашего подразделения, нажав вкладку Настройки.

10. Теперь, чтобы увидеть примененные новые настройки, просто дважды перезагрузите компьютеры с Windows, подключенные к этому домену, чтобы увидеть эффект.

Шаг 2. Добавьте пользователей в организационные подразделения (OU)

Теперь давайте добавим пользователя в наше новое подразделение, чтобы эффективно применить эти настройки. Допустим, у вас есть некоторые сомнения относительно user2 в вашем домене и вы хотите, чтобы он имел ограничения, налагаемые Allowed_User OU GPO.

11. На удаленном компьютере Windows откройте Пользователи и компьютеры Active Directory, перейдите к Пользователи, выберите user2 и выполните щелчок правой кнопкой мыши для появления меню.

12. В окне «Переместить» выберите подразделение Allowed_Users и нажмите «ОК».

Теперь все настройки этого объекта групповой политики будут применяться к этому пользователю, как только он в следующий раз войдет в систему. Доказано, что у этого пользователя нет доступа к диспетчеру задач, панели управления или другим соответствующим настройкам компьютера, присоединенного к этому домену.

Все эти настройки стали возможными на сервере, на котором работает дистрибутив на базе Linux, Zentyal 7.0, с использованием бесплатного программного обеспечения с открытым исходным кодом, Samba4 и LDAP, который действует почти как настоящий сервер Windows и несколько инструментов удаленного управления, доступных на любом настольном компьютере с Windows.