Zoeken op website

Creëer organisatie-eenheden (OU) en schakel GPO in Zentyal in

Na mijn vorige twee tutorials over installeren, basisconfiguraties en op afstand toegang krijgen tot Zentyal PDC vanaf een Windows-gebaseerd knooppunt is het tijd om een zekere mate van beveiliging en configuraties toe te passen op uw gebruikers en computers die aan uw domein worden toegevoegd door Organisatie-eenheden (OU) te maken en GPO (Groepsbeleid) in te schakelen.

Vereisten

  • Installeer Zentyal als PDC (Primary Domain Controller) en integreer het Windows-systeem – Deel 1
  • Hoe Zentyal PDC (primaire domeincontroller) te beheren vanaf een Windows-systeem - Deel 2

Zoals u wellicht al weet, is GPO software die gebruikersaccounts, computers, werkomgevingen, instellingen, applicaties en andere beveiligingsgerelateerde problemen beheert vanaf een centraal punt op alle Windows-desktop- en serverbesturingssystemen.

Dit onderwerp is zeer complex en er is heel veel documentatie over dit onderwerp gepubliceerd, maar deze tutorial behandelt een aantal basisimplementaties van hoe je GPO inschakelt op gebruikers en computers die zijn samengevoegd in een Zentyal PDC-server.

Stap 1: Organisatie-eenheden (OU) maken

1. Krijg toegang tot uw Zentyal Web Administration Tools via domein of IP-adres en ga naar Module Gebruikers en Computers –> Beheren.

https://your_domain_name:8443
OR
https://your_zentyal_ip_addess:8443

2. Markeer uw domein, klik op de groene knop '+', selecteer Organisatie-eenheid en voer bij de prompt uw ' in Organisatie-eenheidnaam” (kies een beschrijvende naam) en ga vervolgens naar Toevoegen (OE's kunnen ook worden gemaakt met Remote Administrative Tools zoals Active Directory-gebruikers en Computer of Groepsbeleidsmanagement).

3. Ga nu naar uw Windows Remote System en open de snelkoppeling Groepsbeleidsbeheer (zoals u uw nieuw gemaakte Organisatie-eenheid kunt zien verschijnt op uw domein).

4. Klik met de rechtermuisknop op de zojuist gemaakte organisatienaam en selecteer Een GPO maken in dit domein en deze hier koppelen...

5. Voer bij de prompt Nieuw GPO een beschrijvende naam in voor dit nieuwe GPO en klik vervolgens op OK.

6. Hiermee wordt uw GPO-basisbestand gemaakt voor deze Organisatie-eenheid, maar er zijn nog geen instellingen geconfigureerd. Om dit bestand te bewerken, klikt u met de rechtermuisknop op deze bestandsnaam en selecteert u Bewerken.

7. Hierdoor wordt de Group Policy Management Editor voor dit bestand geopend (deze instellingen zijn alleen van toepassing op gebruikers en computers die naar deze OE zijn verplaatst).

8. Laten we nu beginnen met het configureren van enkele eenvoudige instellingen voor dit Groepsbeleidsbestand.

Hier zijn enkele basisinstellingen

A. Navigeer naar Computerconfiguratie –> Windows-instellingen –> Beveiligingsinstellingen –> Lokaal beleid –> Beveiligingsopties –> Interactief inloggen –> Berichttekst/titel voor gebruikers die proberen in te loggen, voer wat tekst in op Definieer deze beleidsinstellingen voor beide instellingen en klik op OK.

WAARSCHUWING: om deze instelling toe te passen op uw volledige domeingebruikers en computers tot nu toe, moet u het standaarddomeinbeleidsbestand in de domeinforestlijst selecteren en bewerken.

B. Navigeer naar Gebruikersconfiguratie –> Beleid –> Beheersjablonen –> Configuratiescherm b> –> toegang tot het Configuratiescherm en pc-instellingen verbieden, dubbelklik en selecteer Ingeschakeld.

U kunt allerlei beveiligingsinstellingen uitvoeren die verband houden met Gebruikers en Computers voor deze Organisatie-eenheid (alleen uw behoeften en verbeeldingskracht zijn de limiet ), zoals de degenen in de onderstaande schermafbeelding, maar dat is niet het doel van deze tutorial (ik heb dit alleen geconfigureerd om te demonstreren).

9. Nadat u al uw beveiligingsinstellingen en configuraties heeft uitgevoerd, sluit u alle vensters en gaat u terug naar de Zentyal Web Admin Interface ( https://mijndomein.com), ga naar < b>Domeinmodule –> Groepsbeleidslinks, markeer uw GPO-bestand uit uw domein Forest, selecteer zowel Links ingeschakeld als Afgedwongen en klik op de knop Bewerken om instellingen voor deze OE toe te passen.

Zoals u kunt zien in het externe hulpprogramma Windows Groepsbeleidsbeheer is dit beleid ingeschakeld op de OU.

U kunt ook een lijst met al uw OU GPO-instellingen bekijken door op het tabblad Instellingen te klikken.

10. Om uw nieuwe instellingen daadwerkelijk te kunnen zien, hoeft u uw Windows-machines die bij dit domein zijn aangesloten tweemaal opnieuw op te starten om het effect te zien.

Stap 2: Gebruikers toevoegen aan organisatie-eenheden (OE)

Laten we nu een gebruiker toevoegen aan onze nieuwe OE om deze instellingen effectief toe te passen. Stel dat u enige twijfels heeft over gebruiker2 op uw domein en dat u wilt dat er beperkingen worden opgelegd door Allowed_User OU GPO.

11. Open op Windows Remote Machine Active Directory: gebruikers en computers, navigeer naar Gebruikers, selecteer gebruiker2 en doe een klik met de rechtermuisknop voor menuweergave.

12. Selecteer in het venster Verplaatsen de OU Allowed_Users en druk op OK.

Nu zijn alle instellingen op dit GPO van toepassing op deze gebruiker zodra hij de volgende keer opnieuw inlogt. Het is bewezen dat deze gebruiker geen toegang heeft tot Taakbeheer, het Configuratiescherm of andere gerelateerde computerinstellingen die bij dit domein zijn aangesloten.

Al deze instellingen zijn mogelijk gemaakt op een server met een Linux-gebaseerde distributie, Zentyal 7.0, met gratis open-source software, Samba4, en LDAP, dat bijna werkt als een echte Windows-server en een paar tools voor extern beheer die beschikbaar zijn op elke Windows Desktop-machine.