Organizatorisko vienību (OU) izveide un GPO (grupas politikas) iespējošana Zentyal PDC serverī - 3. daļa


Pēc manām divām iepriekšējām pamācībām par instalēšanu, pamata konfigurācijām un attālinātu piekļuvi Zentyal 3.4 PDC veido Windows balstītu mezglu, ir pienācis laiks lietot zināmu drošības un konfigurācijas pakāpi lietotājiem un datoriem, kas ir pievienoti jūsu domēnam, izveidojot Organizatoriskās vienības (OU) un GPO iespējošana (grupas politika).

  1. Instalējiet Zentyal kā PDC (primārā domēna kontrolieris) un integrējiet Windows - 1. daļa
  2. Pārvaldiet Zentyal PDC (primārā domēna kontrolleri) no Windows - 2. daļa

Kā jūs jau zināt, GPO ir programmatūra, kas kontrolē lietotāju kontus, datori, darba vide, iestatījumi, lietojumprogrammas un citas ar drošību saistītas problēmas ir galvenais punkts visās Windows darbvirsmas un serveru operētājsistēmās.

Šī tēma ir ļoti sarežģīta, un par šo tēmu ir publicētas daudzas dokumentācijas, taču šī apmācība aptver dažus pamatprincipus par to, kā iespējot GPO lietotājiem un datoriem, kas pievienoti Zentyal 3.4 PDC serverim.

1. darbība: izveidojiet organizatoriskās vienības (OU)

1. Piekļūstiet saviem Zentyal tīmekļa administrēšanas rīkiem, izmantojot “https:/your_domain_name” vai “https:/your_zentyal_ip_addess” un dodieties uz Lietotāju un datoru modulis -> Pārvaldīt .

2. Iezīmējiet savu domēnu, noklikšķiniet uz zaļās pogas “+”, atlasiet Organizatoriskā vienība un uzvednē ievadiet “Organizatoriskās vienības nosaukums” (izvēlieties aprakstošu nosaukumu) un pēc tam uzņemiet Pievienot (OU var izveidot arī no attālajiem administratīvajiem rīkiem, piemēram, Active Directory lietotājiem un datora vai grupas politikas pārvaldības).

3. Tagad dodieties uz savu Windows attālo sistēmu un atveriet grupas politikas pārvaldības saīsni (kā redzat, ka jūsu jaunizveidotā organizatoriskā vienība parādās jūsu domēnā).

4. Ar peles labo pogu noklikšķiniet uz tikko izveidotā organizācijas nosaukuma un atlasiet Izveidot GPO šajā domēnā un saistiet to šeit ... .

5. uzvednē New GPO ievadiet šī jaunā GPO aprakstošu nosaukumu un nospiediet OK.

6. Tādējādi tiek izveidots jūsu GPO pamata fails šai organizācijas vienībai, taču vēl nav konfigurēti iestatījumi. Lai sāktu rediģēt šo failu, ar peles labo pogu noklikšķiniet uz šī faila nosaukuma un atlasiet Rediģēt.

7. Tādējādi šim failam tiks atvērts grupas politikas pārvaldības redaktors (šie iestatījumi tiks lietoti tikai lietotājiem un datoriem, kas pārvietoti uz šo OU).

8. Tagad ļauj sākt konfigurēt dažus vienkāršus iestatījumus šim grupas politikas failam.

A. Pārejiet uz Datora konfigurācija -> Windows iestatījumi -> Drošības iestatījumi -> Vietējās politikas -> Drošības opcijas -> Interaktīvā pieteikšanās -> Ziņojuma teksts/nosaukums lietotājiem, kuri mēģina pieteikties , ievadiet tekstu sadaļā Definēt šīs politikas iestatījumus abos iestatījumos un nospiediet OK.

BRĪDINĀJUMS: Lai šo iestatījumu lietotu visiem domēna lietotājiem un datoriem, domēnu mežu sarakstā atlasiet un rediģējiet noklusējuma domēna politikas failu.

B. Pārejiet uz Lietotāja konfigurācija -> Politikas -> Administratīvās veidnes -> Vadības panelis -> aizliegt piekļuvi vadības panelim un datora iestatījumiem veiciet dubultklikšķi un atlasiet Iespējots.

Šajā organizācijas vienībā varat veikt visdažādākos drošības iestatījumus, kas saistīti ar lietotājiem un datoriem (ierobežojums ir tikai jūsu vajadzībām un iztēlei), piemēram, zemāk redzamajā ekrānuzņēmumā, taču tas nav šīs apmācības mērķis (es to esmu konfigurējis tikai, lai demonstrētu ).

9. Kad esat pabeidzis visus drošības iestatījumus un konfigurācijas, aizveriet visus logus un atgriezieties Zentyal Web Admin Interface (https://mydomain.com), dodieties uz Domēna modulis -> Grupa Politikas saites , iezīmējiet savu GPO failu no sava domēna Mežs , atlasiet gan Saite iespējota, gan izpildīta un nospiediet Rediģēt pogu, lai lietotu šī OU iestatījumi.

Kā redzat no attālā rīka Windows grupas politikas pārvaldība , šī politika ir iespējota OU.

Noklikšķinot uz cilnes Iestatījumi , varat redzēt arī visu OU GPO iestatījumu sarakstu.

10. Tagad, lai faktiski varētu redzēt savus jaunos iestatījumus, vienkārši divreiz restartējiet Windows domēna pievienoto domēnu, lai redzētu efektu.

2. darbība: lietotāju pievienošana organizatoriskajām vienībām (OU)

Tagad ļauj pievienot lietotāju mūsu jaunajai OU, lai efektīvi piemērotu šos iestatījumus. Pieņemsim, ka jums ir zināmas šaubas par user2 jūsu domēnā un par to, kādus ierobežojumus viņam ir jāuzliek Allowed_User OU GPO.

11. Operētājsistēmā Windows attālā mašīna atveriet Active Directory lietotāji un datori , dodieties uz Lietotāji , atlasiet user2 un ar peles labo pogu noklikšķiniet uz izvēlnes parādīšanās.

12. Loga Pārvietot uzvednē atlasiet Atļautie_lietotāji OU un nospiediet Labi.

Tagad visi šī GPO iestatījumi tiks piemēroti šim lietotājam, tiklīdz viņš nākamajā reizē piesakīsies. Kā pierādīts, šim lietotājam nav piekļuves uzdevumu pārvaldniekam, vadības panelim vai citiem saistītiem datora iestatījumiem, kas pievienoti šajā domēnā.

Visi šie iestatījumi bija iespējami serverī, kurā darbojas izplatīšana uz Linux bāzes, Zentyal 3.4, ar bezmaksas atvērtā pirmkoda programmatūru , Samba4 un LDAP , kas darbojas gandrīz kā oriģināls Windows 2003 serveris un daži attālās pārvaldības rīki, kas ir pieejami jebkurā Windows darbvirsmas datorā.