Vytvořte organizační jednotky (OU) a povolte GPO v Zentyalu

Po mých předchozích dvou výukových programech o instalaci, základních konfiguracích a vzdáleném přístupu k Zentyal PDC z uzlu založeného na systému Windows je čas použít určitý stupeň zabezpečení a konfigurace na vaše uživatele a počítače které jsou připojeny k vaší doméně vytvořením organizačních jednotek (OU) a povolením GPO (zásady skupiny).

Požadavky

• Nainstalujte Zentyal jako PDC (Primary Domain Controller) a integrujte systém Windows – část 1
• Jak spravovat Zentyal PDC (primární řadič domény) ze systému Windows – část 2

Jak už možná víte, GPO je software, který řídí uživatelské účty, počítače, pracovní prostředí, nastavení, aplikace a další problémy související se zabezpečením z centrálního bodu na všech operačních systémech Windows pro stolní počítače a servery.

Toto téma je velmi složité a na toto téma byly publikovány tuny dokumentace, ale tento tutoriál obsahuje základní implementaci toho, jak povolit GPO na uživatelích a počítačích připojených k Zentyal PDC Server<.

Krok 1: Vytvořte organizační jednotky (OU)

1. Získejte přístup ke svým Nástrojům pro správu webu Zentyal prostřednictvím domény nebo IP adresy a přejděte na Modul uživatelů a počítačů –> Spravovat.

https://your_domain_name:8443
OR
https://your_zentyal_ip_addess:8443

2. Zvýrazněte svou doménu, klikněte na zelené tlačítko „+“, vyberte Organizační jednotka a na výzvu zadejte své „ Název organizační jednotky” (vyberte popisný název) a poté vyfoťte na Přidat (organizační jednotky lze také vytvořit z Nástrojů pro vzdálenou správu, jako jsou uživatelé a počítač služby Active Directory nebo Správa zásad skupiny).

3. Nyní přejděte do Vzdáleného systému Windows a otevřete zástupce Správa zásad skupiny (jak vidíte nově vytvořenou organizační jednotku ve vaší doméně).

4. Klikněte pravým tlačítkem na Název organizace, který jste právě vytvořili, a vyberte možnost Vytvořit objekt GPO v této doméně a propojit jej zde…

5. Na výzvu Nový GPO zadejte popisný název tohoto nového GPO a poté stiskněte OK.

6. Tím se vytvoří váš základní soubor GPO pro tuto organizační jednotku, ale ještě nejsou nakonfigurována žádná nastavení. Chcete-li zahájit úpravy tohoto souboru, klikněte pravým tlačítkem na název tohoto souboru a vyberte možnost Upravit.

7. Tím se otevře Editor správy zásad skupiny pro tento soubor (tato nastavení se budou vztahovat pouze na uživatele a počítače přesunuté do této organizační jednotky).

8. Nyní začněme konfigurovat některá jednoduchá nastavení pro tento soubor zásad skupiny.

Zde je několik základních nastavení

A. Přejděte do Konfigurace počítače –> Nastavení systému Windows –> Nastavení zabezpečení –> Místní zásady –> Možnosti zabezpečení –> Interaktivní přihlášení –> Text/název zprávy pro uživatele pokoušející se přihlásit, zadejte nějaký text na Definujte toto nastavení zásad u obou nastavení a stiskněte OK.

UPOZORNĚNÍ: Chcete-li toto nastavení použít na uživatele a počítače v celé vaší doméně, měli byste vybrat a upravit soubor Výchozí zásady domény v seznamu doménových struktur.

B. Přejděte na Konfigurace uživatele –> Zásady –> Šablony pro správu –> Ovládací panel b> –> zakázat přístup k ovládacímu panelu a nastavení počítače, dvakrát klikněte a vyberte možnost Povoleno.

Pro tuto organizační jednotku můžete provádět nejrůznější nastavení zabezpečení související s Uživateli a Počítači (limitem jsou pouze vaše potřeby a představivost), jako např. ty na níže uvedeném snímku obrazovky, ale to není účelem tohoto tutoriálu (nakonfiguroval jsem to pouze pro demonstraci).

9. Po provedení všech nastavení zabezpečení a konfigurací zavřete všechna okna a vraťte se do rozhraní Zentyal Web Admin Interface ( https://mydomain.com ), přejděte na < b>Modul domény –> Odkazy na zásady skupiny, zvýrazněte soubor GPO z vaší domény Forest, vyberte Odkazy povoleny i vynuceny a kliknutím na tlačítko Upravit použijte nastavení pro tuto OU.

Jak můžete vidět ze vzdáleného nástroje Windows Group Policy Management, tato zásada byla na organizační jednotce povolena.

Kliknutím na kartu Nastavení můžete také zobrazit seznam všech nastavení GPO organizační jednotky.

10. Nyní, abyste mohli vidět vaše nová nastavení použitá, stačí dvakrát restartovat počítače se systémem Windows připojené k této doméně, abyste viděli efekt.

Krok 2: Přidání uživatelů do organizačních jednotek (OU)

Nyní do naší novéorganizační jednotky přidáme uživatele, abychom tato nastavení efektivně použili. Řekněme, že máte určité pochybnosti o uživateli2 ve vaší doméně a o tom, co na něj má mít omezení uložená Allowed_User OU GPO.

11. Na vzdáleném počítači Windows otevřete Active Directory Users and Computers, přejděte na Users, vyberte user2 a proveďte kliknutím pravým tlačítkem myši se zobrazí nabídka.

12. V okně Přesunout vyberte organizační jednotku Allowed_Users a stiskněte OK.

Nyní budou všechna nastavení tohoto GPO platit pro tohoto uživatele, jakmile se příště přihlásí. Jak bylo prokázáno, tento uživatel nemá přístup ke Správci úloh, Ovládacímu panelu ani k dalším souvisejícím nastavením počítače připojeným k této doméně.

Všechna tato nastavení byla umožněna na serveru s distribucí založenou na Linuxu, Zentyal 7.0, s bezplatným open source software, Samba4, a LDAP, které fungují téměř jako originální server Windows a několik nástrojů pro vzdálenou správu, které jsou k dispozici na jakémkoli počítači se systémem Windows.