Creeu unitats organitzatives (OU) i activeu GPO a Zentyal

Després dels meus dos tutorials anteriors sobre instal·lació, configuracions bàsiques i accés remot a Zentyal PDC des d'un node basat en Windows , és hora d'aplicar cert grau de seguretat i configuracions als usuaris i ordinadors que s'uneixen al vostre domini mitjançant creant Unitats organitzatives (OU) i habilitant GPO (política de grup).

  • Instal·leu Zentyal com a PDC (controlador de domini principal) i integreu el sistema Windows - Part 1
  • Com gestionar Zentyal PDC (controlador de domini principal) des del sistema Windows - Part 2

Com ja sabeu, GPO és un programari que controla els comptes d'usuari, els ordinadors, els entorns de treball, la configuració, les aplicacions i altres problemes relacionats amb la seguretat des d'un punt central de tots els sistemes operatius d'escriptori i servidor de Windows.

Aquest tema és molt complex i s'han publicat tones de documentació sobre el tema, però aquest tutorial cobreix algunes implementacions bàsiques sobre com habilitar GPO als usuaris i ordinadors units a un servidor PDC de Zentyal.

Pas 1: creeu unitats organitzatives (OU)

1. Accediu a les vostres eines d'administració web de Zentyal mitjançant el domini o l'adreça IP i aneu al Mòdul Usuaris i ordinadors –> Gestiona.

https://your_domain_name:8443
OR
https://your_zentyal_ip_addess:8443

2. Ressalteu el vostre domini, feu clic al botó verd +, seleccioneu Unitat organitzativa i, a la sol·licitud, introduïu el vostre Nom de la unitat organitzativa (trieu un nom descriptiu) i després dispara a Afegeix (les OU també es poden crear des d'eines administratives remotes, com ara Usuaris d'Active Directory i Gestió de polítiques d'ordinador o de grup).

3. Ara aneu al vostre sistema remot de Windows i obriu la drecera Gestió de polítiques de grup (com podeu veure que la unitat organitzativa acabada de crear apareix al vostre domini).

4. Feu clic amb el botó dret al nom de l'organització que acabeu de crear i seleccioneu Crea un GPO en aquest domini i enllaceu-lo aquí...

5. A l'indicador Nou GPO, introduïu un nom descriptiu per a aquest nou GPO i, a continuació, premeu D'acord.

6. Això crea el vostre fitxer bàsic GPO per a aquesta unitat organitzativa, però encara no té cap configuració configurada. Per començar a editar aquest fitxer, feu clic amb el botó dret sobre aquest nom i seleccioneu Edita.

7. Això obrirà l'Editor de gestió de polítiques de grup per a aquest fitxer (aquesta configuració només s'aplicarà als usuaris i ordinadors moguts a aquesta OU).

8. Ara comencem a configurar alguns paràmetres senzills per a aquest fitxer de política de grup.

A. Aneu a Configuració de l'ordinador –> Configuració de Windows –> Configuració de seguretat –> Polítiques locals –> Opcions de seguretat –> Inici de sessió interactiu –> Text/títol del missatge per als usuaris que intentin iniciar la sessió, introduïu algun text a Definiu aquesta configuració de política b> a ambdues configuracions i premeu D'acord.

ADVERTÈNCIA: Per aplicar aquesta configuració a tots els usuaris i ordinadors del vostre domini fins ara, heu de seleccionar i editar el fitxer de política de domini predeterminat a la llista de boscos de dominis.

B. Navegueu a a Configuració d'usuari –> Polítiques –> Plantilles administratives –> Tauler de control –> prohibir l'accés al tauler de control i a la configuració del PC, feu doble clic i seleccioneu Habilitat.

Podeu fer tot tipus de configuracions de seguretat relacionades amb els usuaris i els ordinadors per a aquesta unitat organitzativa (només les vostres necessitats i imaginació són el límit) com les de la captura de pantalla següent, però aquest no és l'objectiu d'aquest tutorial (l'he configurat només per demostrar ).

9. Després d'haver fet tots els paràmetres i configuracions de seguretat, tanqueu totes les finestres i torneu a la interfície d'administració web de Zentyal ( https://mydomain.com ), aneu a Mòdul de domini –> Grup Enllaços de polítiques, ressalteu el vostre fitxer GPO del vostre domini Bosc, seleccioneu Enllaços activats i Aplicats i premeu el botó Edita per aplicar-lo. configuració d'aquesta OU.

Com podeu veure a l'eina remota Gestió de polítiques de grup de Windows, aquesta política s'ha habilitat a la OU.

També podeu veure una llista de tota la vostra configuració GPO d'OU fent clic a la pestanya Configuració.

10. Ara per poder veure la configuració nova aplicada, només cal que reinicieu dues vegades les vostres màquines Windows que s'han unit a aquest domini per veure'n l'efecte.

Pas 2: afegiu usuaris a unitats organitzatives (OU)

Ara, afegim un usuari a la nostra nova OU per aplicar aquesta configuració de manera efectiva. Suposem que teniu alguns dubtes sobre user2 al vostre domini i sobre el que té restriccions imposades per l'OGPO d'Allowed_User OU.

11. A la màquina remota de Windows, obriu Usuaris i ordinadors d'Active Directory, aneu a Usuaris, seleccioneu usuari2 i feu clic amb el botó dret per veure'n el menú. .

12. A la finestra Moure, seleccioneu Allowed_Users OU i premeu D'acord.

Ara, tota la configuració d'aquest GPO s'aplicarà a aquest usuari tan bon punt torni a iniciar sessió la propera vegada. Com s'ha demostrat, aquest usuari no té accés al Gestor de tasques, al tauler de control ni a altres configuracions d'ordinador relacionades que s'uneixin a aquest domini.

Totes aquestes configuracions van ser possibles sota un servidor que executava una distribució basada en Linux, Zentyal 7.0, amb programari lliure de codi obert, Samba4. i LDAP, que actua gairebé com un servidor genuí de Windows i unes quantes eines de gestió remota que estan disponibles a qualsevol màquina d'escriptori de Windows.