Erstellen Sie Organisationseinheiten (OU) und aktivieren Sie GPO in Zentyal
Nach meinen beiden vorherigen Tutorials zur Installation, grundlegenden Konfigurationen und zum Fernzugriff auf Zentyal PDC von einem Windows-basierten Knoten aus ist es an der Zeit, ein gewisses Maß an Sicherheit und Konfigurationen auf Ihre Benutzer und Computer anzuwenden die Ihrer Domain hinzugefügt werden, indem Sie Organisationseinheiten (OU) erstellen und GPO (Gruppenrichtlinie) aktivieren.
Anforderungen
- Zentyal als PDC (Primary Domain Controller) installieren und Windows-System integrieren – Teil 1
- So verwalten Sie Zentyal PDC (primärer Domänencontroller) vom Windows-System aus – Teil 2
Wie Sie vielleicht bereits wissen, ist GPO eine Software, die Benutzerkonten, Computer, Arbeitsumgebungen, Einstellungen, Anwendungen und andere sicherheitsrelevante Probleme von einem zentralen Punkt aus auf allen Windows-Desktop- und Server-Betriebssystemen steuert.
Dieses Thema ist sehr komplex und es wurden unzählige Dokumentationen zu diesem Thema veröffentlicht, aber dieses Tutorial behandelt einige grundlegende Implementierungen zur Aktivierung von GPO auf Benutzern und Computern, die einem Zentyal PDC-Server< beitreten.
Schritt 1: Organisationseinheiten (OU) erstellen
1. Greifen Sie über die Domäne oder IP-Adresse auf Ihre Zentyal Web Administration Tools zu und gehen Sie zu Benutzer- und Computermodul –> Verwalten.
https://your_domain_name:8443
OR
https://your_zentyal_ip_addess:8443
2. Markieren Sie Ihre Domain, klicken Sie auf die grüne Schaltfläche „+“, wählen Sie Organisationseinheit und geben Sie bei der Eingabeaufforderung Ihr „“ ein Name der Organisationseinheit“ (wählen Sie einen aussagekräftigen Namen) und klicken Sie dann auf Hinzufügen (Organisationseinheiten können auch über Remote-Verwaltungstools wie Active Directory-Benutzer und -Computer erstellt werden Gruppenrichtlinienverwaltung).
3. Gehen Sie nun zu Ihrem Windows Remote System und öffnen Sie die Verknüpfung Gruppenrichtlinienverwaltung (wie Sie Ihre neu erstellte Organisationseinheit sehen können). erscheint auf Ihrer Domain).
4. Klicken Sie mit der rechten Maustaste auf den soeben erstellten Organisationsnamen und wählen Sie GPO in dieser Domäne erstellen und hier verknüpfen…
5. Geben Sie in der Eingabeaufforderung Neues GPO einen beschreibenden Namen für dieses neue GPO ein und klicken Sie dann auf OK.
6. Dadurch wird Ihre GPO-Basisdatei für diese Organisationseinheit erstellt, es sind jedoch noch keine Einstellungen konfiguriert. Um mit der Bearbeitung dieser Datei zu beginnen, klicken Sie mit der rechten Maustaste auf diesen Dateinamen und wählen Sie Bearbeiten.
7. Dadurch wird der Gruppenrichtlinienverwaltungs-Editor für diese Datei geöffnet (diese Einstellungen gelten nur für Benutzer und Computer, die in diese Organisationseinheit verschoben wurden).
8. Beginnen wir nun mit der Konfiguration einiger einfacher Einstellungen für diese Gruppenrichtliniendatei.
Hier sind einige Grundeinstellungen
A. Navigieren Sie zu Computerkonfiguration –> Windows-Einstellungen –> Sicherheitseinstellungen –> Lokale Richtlinien –> Sicherheitsoptionen –> Interaktive Anmeldung –> Nachrichtentext/-titel für Benutzer, die sich anmelden möchten, geben Sie einen Text ein unter Definieren Sie diese Richtlinieneinstellungen für beide Einstellungen und klicken Sie auf OK.
WARNUNG: Um diese Einstellung bisher auf Ihre gesamten Domänenbenutzer und Computer anzuwenden, sollten Sie die Standarddomänenrichtliniendatei in der Domänengesamtstrukturliste auswählen und bearbeiten.
B. Navigieren Sie zur Benutzerkonfiguration –> Richtlinien –> Administrative Vorlagen –> Systemsteuerung –> Zugriff auf Systemsteuerung und PC-Einstellungen verbieten, doppelklicken Sie und wählen Sie Aktiviert.
Sie können alle möglichen Sicherheitseinstellungen in Bezug auf Benutzer und Computer für diese Organisationseinheit vornehmen (nur Ihre Bedürfnisse und Vorstellungskraft sind die Grenze), wie z diejenigen im Screenshot unten, aber das ist nicht der Zweck dieses Tutorials (ich habe dies nur zur Demonstration konfiguriert).
9. Nachdem Sie alle Sicherheitseinstellungen und Konfigurationen vorgenommen haben, schließen Sie alle Fenster und kehren Sie zur Zentyal Web Admin-Oberfläche ( https://mydomain.com ) zurück. Gehen Sie zu < b>Domänenmodul –> Gruppenrichtlinien-Links, markieren Sie Ihre GPO-Datei aus Ihrer Domäne Gesamtstruktur, wählen Sie sowohl Links aktiviert als auch erzwungen aus und klicken Sie auf die Schaltfläche Bearbeiten, um die Einstellungen für diese OU zu übernehmen.
Wie Sie im Remote-Tool Windows-Gruppenrichtlinienverwaltung sehen können, wurde diese Richtlinie in der Organisationseinheit aktiviert.
Sie können auch eine Liste aller Ihrer OU-GPO-Einstellungen anzeigen, indem Sie auf die Registerkarte Einstellungen klicken.
10. Damit Sie nun tatsächlich sehen können, wie Ihre neuen Einstellungen angewendet werden, starten Sie einfach zweimal Ihre Windows-Computer neu, die dieser Domäne beigetreten sind, um die Auswirkung zu sehen.
Schritt 2: Benutzer zu Organisationseinheiten (OU) hinzufügen
Fügen wir nun einen Benutzer zu unserer neuen Organisationseinheit hinzu, um diese Einstellungen effektiv anzuwenden. Nehmen wir an, Sie haben Zweifel an Benutzer2 in Ihrer Domain und wissen, dass ihm durch das Gruppenrichtlinienobjekt Erlaubter_Benutzer Einschränkungen auferlegt werden sollen.
11. Öffnen Sie auf einem Windows-Remotecomputer Active Directory-Benutzer und -Computer, navigieren Sie zu Benutzer, wählen Sie Benutzer2 aus und führen Sie den Vorgang durch Klicken Sie mit der rechten Maustaste, um das Menü anzuzeigen.
12. Wählen Sie in der Eingabeaufforderung des Verschieben-Fensters die Organisationseinheit Allowed_Users aus und klicken Sie auf OK.
Jetzt gelten alle Einstellungen für dieses GPO für diesen Benutzer, sobald er sich das nächste Mal wieder anmeldet. Dieser Nutzer hat nachweislich keinen Zugriff auf den Task-Manager, die Systemsteuerung oder andere zugehörige Computereinstellungen, die dieser Domain beigetreten sind.
Alle diese Einstellungen wurden auf einem Server ermöglicht, auf dem eine Linux-basierte Distribution, Zentyal 7.0, mit kostenloser Open-Source-Software ausgeführt wurde, Samba4 und LDAP, das sich fast wie ein echter Windows-Server verhält, sowie einige Fernverwaltungstools, die auf jedem Windows-Desktop-Computer verfügbar sind.