Δημιουργήστε οργανωτικές μονάδες (OU) και ενεργοποιήστε το GPO στο Zentyal
Μετά τα δύο προηγούμενα μαθήματα σχετικά με την εγκατάσταση, τις βασικές διαμορφώσεις και την απομακρυσμένη πρόσβαση στο Zentyal PDC από έναν κόμβο που βασίζεται σε Windows, ήρθε η ώρα να εφαρμόσετε κάποιο βαθμό ασφάλειας και διαμορφώσεων στους χρήστες και τους υπολογιστές σας που συνδέονται στον τομέα σας μέσω της δημιουργίας Οργανιστικών μονάδων (OU) και της ενεργοποίησης του GPO (Πολιτική ομάδας).
Απαιτήσεις
- Εγκαταστήστε το Zentyal ως PDC (πρωτεύον ελεγκτή τομέα) και ενσωματώστε το σύστημα Windows – Μέρος 1
- Τρόπος διαχείρισης του Zentyal PDC (πρωτεύων ελεγκτής τομέα) από το σύστημα Windows – Μέρος 2
Όπως ίσως γνωρίζετε ήδη το GPO είναι λογισμικό που ελέγχει λογαριασμούς χρηστών, υπολογιστές, περιβάλλοντα εργασίας, ρυθμίσεις, εφαρμογές και άλλα ζητήματα που σχετίζονται με την ασφάλεια από ένα κεντρικό σημείο σε όλα τα λειτουργικά συστήματα επιτραπέζιων υπολογιστών και διακομιστών Windows.
Αυτό το θέμα είναι πολύ περίπλοκο και έχουν δημοσιευτεί πολλοί τεκμηριώσεις σχετικά με το θέμα, αλλά αυτό το σεμινάριο καλύπτει ορισμένες βασικές εφαρμογές σχετικά με τον τρόπο ενεργοποίησης του GPO σε χρήστες και υπολογιστές που είναι συνδεδεμένοι σε έναν Zentyal PDC Server<.
Βήμα 1: Δημιουργία Οργανωτικών Μονάδων (OU)
1. Αποκτήστε πρόσβαση στα Εργαλεία διαχείρισης Ιστού Zentyal μέσω τομέα ή διεύθυνσης IP και μεταβείτε στην ενότητα Ενότητα χρηστών και υπολογιστών –> Διαχείριση.
https://your_domain_name:8443 OR https://your_zentyal_ip_addess:8443
2. Επισημάνετε τον τομέα σας, κάντε κλικ στο πράσινο κουμπί +, επιλέξτε Οργανωτική μονάδα και στο μήνυμα που σας ζητείται πληκτρολογήστε το Όνομα οργανικής μονάδας” (επιλέξτε ένα περιγραφικό όνομα) και στη συνέχεια τραβήξτε το στο Προσθήκη ( Τα OU μπορούν επίσης να δημιουργηθούν από τα Εργαλεία απομακρυσμένης διαχείρισης όπως οι χρήστες Active Directory και ο υπολογιστής ή Διαχείριση πολιτικής ομάδας).
3. Τώρα μεταβείτε στο Απομακρυσμένο σύστημα Windows και ανοίξτε τη συντόμευση Διαχείριση πολιτικής ομάδας (όπως μπορείτε να δείτε τη Οργανωτική μονάδα που δημιουργήθηκε πρόσφατα εμφανίζεται στον τομέα σας).
4. Κάντε δεξί κλικ στο Όνομα οργανισμού που μόλις δημιουργήσατε και επιλέξτε Δημιουργία GPO σε αυτόν τον τομέα και συνδέστε το εδώ…
5. Στην προτροπή Νέο GPO πληκτρολογήστε ένα περιγραφικό όνομα για αυτό το νέο GPO και, στη συνέχεια, πατήστε OK.
6. Αυτό δημιουργεί το Βασικό αρχείο GPO για αυτήν την Οργανωτική μονάδα, αλλά δεν έχει διαμορφωθεί ακόμη ρυθμίσεις. Για να ξεκινήσετε την επεξεργασία αυτού του αρχείου, κάντε δεξί κλικ στο όνομα αυτού του αρχείου και επιλέξτε Επεξεργασία.
7. Αυτό θα ανοίξει το Group Policy Management Editor για αυτό το αρχείο (αυτές οι ρυθμίσεις θα ισχύουν μόνο για χρήστες και υπολογιστές που έχουν μετακινηθεί σε αυτό το OU).
8. Τώρα ας αρχίσουμε να διαμορφώνουμε μερικές απλές ρυθμίσεις για αυτό το Αρχείο πολιτικής ομάδας.
Ακολουθούν ορισμένες βασικές ρυθμίσεις
Α. Μεταβείτε στο Διαμόρφωση υπολογιστή –> Ρυθμίσεις Windows –> Ρυθμίσεις ασφαλείας –> Τοπικές πολιτικές –> Επιλογές ασφαλείας –> Διαδραστική σύνδεση –> Κείμενο/τίτλος μηνύματος για χρήστες που επιχειρούν να συνδεθούν, εισαγάγετε κάποιο κείμενο στο Καθορίστε αυτές τις ρυθμίσεις πολιτικής και στις δύο ρυθμίσεις και πατήστε OK.
ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Για να εφαρμόσετε αυτήν τη ρύθμιση σε όλους τους χρήστες και τους υπολογιστές του τομέα σας μέχρι στιγμής, θα πρέπει να επιλέξετε και να επεξεργαστείτε το αρχείο Προεπιλεγμένης Πολιτικής Τομέα στη Λίστα Δασών Τομέων.
Β. Μεταβείτε στη ρύθμιση παραμέτρων χρήστη –> Πολιτικές –> Πρότυπα διαχείρισης –> Πίνακας ελέγχου b> –> απαγόρευση πρόσβασης στον πίνακα ελέγχου και στις ρυθμίσεις υπολογιστή, κάντε διπλό κλικ και επιλέξτε Ενεργοποιημένο.
Μπορείτε να κάνετε κάθε είδους ρυθμίσεις ασφαλείας που σχετίζονται με Χρήστες και Υπολογιστές για αυτήν την Οργανωτική Μονάδα (μόνο οι ανάγκες και η φαντασία σας είναι το όριο ) όπως αυτά στο στιγμιότυπο οθόνης παρακάτω, αλλά δεν είναι αυτός ο σκοπός αυτού του σεμιναρίου (το έχω διαμορφώσει μόνο για επίδειξη).
9. Αφού ολοκληρώσετε όλες τις ρυθμίσεις ασφαλείας και τις διαμορφώσεις, κλείστε όλα τα παράθυρα και επιστρέψτε στη διεπαφή διαχειριστή ιστού Zentyal ( https://mydomain.com ), μεταβείτε στο < b>Μονάδα τομέα –> Σύνδεσμοι πολιτικής ομάδας, επισημάνετε το αρχείο GPO από τον τομέα σας Δάσος, επιλέξτε και τους δύο Ενεργοποιήθηκαν και επιβλήθηκαν σύνδεσμοι και πατήστε το κουμπί Επεξεργασία για να εφαρμόσετε ρυθμίσεις για αυτό το OU.
Όπως μπορείτε να δείτε από το απομακρυσμένο εργαλείο Windows Group Policy Management, αυτή η πολιτική έχει ενεργοποιηθεί στο OU.
Μπορείτε επίσης να δείτε μια λίστα με όλες τις ρυθμίσεις του OU GPO κάνοντας κλικ στην καρτέλα Ρυθμίσεις.
10. Τώρα για να μπορείτε πραγματικά να βλέπετε τις νέες ρυθμίσεις που εφαρμόζονται, απλώς επανεκκινήστε δύο φορές τα μηχανήματα Windows που εντάχθηκαν σε αυτόν τον τομέα για να δείτε το αποτέλεσμα.
Βήμα 2: Προσθήκη χρηστών σε οργανωτικές μονάδες (OU)
Τώρα, ας προσθέσουμε έναν χρήστη στη νέα μας OU για να εφαρμόσουμε αποτελεσματικά αυτές τις ρυθμίσεις. Ας υποθέσουμε ότι έχετε κάποιες αμφιβολίες σχετικά με τον user2 στον τομέα σας και ότι πρέπει να του επιβάλλονται περιορισμοί από το Allowed_User OU GPO.
11. Στο απομακρυσμένο μηχάνημα των Windows ανοίξτε τους Χρήστες και υπολογιστές Active Directory, μεταβείτε στην επιλογή Χρήστες, επιλέξτε user2, και κάντε ένα δεξί κλικ για εμφάνιση μενού.
12. Στη γραμμή εντολών του παραθύρου Μετακίνηση, επιλέξτε Allowed_Users OU και πατήστε OK.
Τώρα όλες οι ρυθμίσεις σε αυτό το GPO θα ισχύουν για αυτόν τον χρήστη μόλις συνδεθεί ξανά την επόμενη φορά. Όπως αποδείχθηκε, αυτός ο χρήστης δεν έχει πρόσβαση στη Διαχείριση Εργασιών, στον Πίνακα Ελέγχου ή σε άλλες σχετικές ρυθμίσεις υπολογιστή που είναι συνδεδεμένες σε αυτόν τον τομέα.
Όλες αυτές οι ρυθμίσεις έγιναν δυνατές μέσω ενός διακομιστή που εκτελεί μια διανομή Linux , Zentyal 7.0, με δωρεάν λογισμικό ανοιχτού κώδικα, Samba4, και LDAP, που λειτουργούν σχεδόν σαν ένας γνήσιος διακομιστής Windows και μερικά εργαλεία απομακρυσμένης διαχείρισης που είναι διαθέσιμα σε οποιοδήποτε μηχάνημα επιτραπέζιου υπολογιστή Windows.