ค้นหาเว็บไซต์

สร้างหน่วยองค์กร (OU) และเปิดใช้งาน GPO ใน Zentyal

หลังจากบทช่วยสอนสองรายการก่อนหน้าของฉันเกี่ยวกับการติดตั้ง การกำหนดค่าพื้นฐานและการเข้าถึง Zentyal PDC จากโหนด ที่ใช้ Windows ก็ถึงเวลาที่จะใช้การรักษาความปลอดภัยและการกำหนดค่าในระดับหนึ่งกับผู้ใช้และคอมพิวเตอร์ของคุณ ที่เข้าร่วมในโดเมนของคุณผ่านการสร้าง หน่วยองค์กร (OU) และเปิดใช้งาน GPO (นโยบายกลุ่ม)

ความต้องการ

  • ติดตั้ง Zentyal เป็น PDC (ตัวควบคุมโดเมนหลัก) และรวมระบบ Windows – ตอนที่ 1
  • วิธีจัดการ Zentyal PDC (ตัวควบคุมโดเมนหลัก) จากระบบ Windows – ตอนที่ 2

ดังที่คุณอาจทราบแล้วว่า GPO คือซอฟต์แวร์ที่ควบคุมบัญชีผู้ใช้ คอมพิวเตอร์ สภาพแวดล้อมการทำงาน การตั้งค่า แอปพลิเคชัน และปัญหาอื่นๆ ที่เกี่ยวข้องกับความปลอดภัยจากจุดศูนย์กลางบนเดสก์ท็อป Windows และระบบปฏิบัติการเซิร์ฟเวอร์ทั้งหมด

หัวข้อนี้เป็นหัวข้อที่ซับซ้อนมากและมีเอกสารประกอบมากมายเกี่ยวกับหัวข้อนี้ แต่บทช่วยสอนนี้ครอบคลุมถึงการใช้งานพื้นฐานบางประการเกี่ยวกับวิธีเปิดใช้งาน GPO สำหรับผู้ใช้และคอมพิวเตอร์ที่เข้าร่วมใน Zentyal PDC Server< /แข็งแกร่ง>.

ขั้นตอนที่ 1: สร้างหน่วยองค์กร (OU)

1. เข้าถึง เครื่องมือการดูแลเว็บ Zentyal ของคุณผ่านโดเมนหรือที่อยู่ IP และไปที่ โมดูลผู้ใช้และคอมพิวเตอร์ –> จัดการ.

https://your_domain_name:8443
OR
https://your_zentyal_ip_addess:8443

2. เน้นโดเมนของคุณ คลิกที่ปุ่ม “+” สีเขียว เลือก หน่วยองค์กร และเมื่อได้รับข้อความแจ้ง ให้ป้อน “ ชื่อหน่วยองค์กร” (เลือกชื่อที่สื่อความหมาย) จากนั้นจึงดำเนินการ เพิ่ม ( OU สามารถสร้างได้จาก เครื่องมือการดูแลระบบระยะไกล เช่น ผู้ใช้ Active Directory และคอมพิวเตอร์ หรือ การจัดการนโยบายกลุ่ม)

3. ตอนนี้ไปที่ Windows Remote System ของคุณแล้วเปิดทางลัด Group Policy Management (ดังที่คุณเห็น หน่วยองค์กรที่สร้างขึ้นใหม่) ปรากฏบนโดเมนของคุณ)

4. คลิกขวาที่ ชื่อองค์กร ที่เพิ่งสร้างขึ้น และเลือก สร้าง GPO ในโดเมนนี้ และเชื่อมโยงไว้ที่นี่...

5. ในข้อความแจ้ง GPO ใหม่ ให้ป้อนชื่อที่สื่อความหมายสำหรับ GPO ใหม่นี้ จากนั้นกด ตกลง

6. สิ่งนี้จะสร้างไฟล์พื้นฐาน GPO ของคุณสำหรับหน่วยองค์กรนี้ แต่ยังไม่มีการกำหนดค่าการตั้งค่า หากต้องการเริ่มแก้ไขไฟล์นี้ ให้คลิกขวาที่ชื่อไฟล์แล้วเลือก แก้ไข

7. นี่จะเป็นการเปิด ตัวแก้ไขการจัดการนโยบายกลุ่ม สำหรับไฟล์นี้ (การตั้งค่าเหล่านี้จะมีผลกับผู้ใช้และคอมพิวเตอร์ที่ย้ายไปยัง OU นี้เท่านั้น)

8. ตอนนี้เรามาเริ่มกำหนดการตั้งค่าง่ายๆ สำหรับ ไฟล์นโยบายกลุ่ม นี้กันดีกว่า

ต่อไปนี้คือการตั้งค่าพื้นฐานบางประการ

A. ไปที่ การกำหนดค่าคอมพิวเตอร์ –> การตั้งค่า Windows –> การตั้งค่าความปลอดภัย –> นโยบายท้องถิ่น –> ตัวเลือกความปลอดภัย –> การเข้าสู่ระบบแบบโต้ตอบ –> ข้อความ/ชื่อสำหรับผู้ใช้ที่พยายามเข้าสู่ระบบ ป้อนข้อความบางส่วนใน กำหนดการตั้งค่านโยบายนี้ในการตั้งค่าทั้งสองรายการ และกดตกลง

คำเตือน: หากต้องการใช้การตั้งค่านี้กับผู้ใช้โดเมนทั้งหมดและคอมพิวเตอร์ของคุณจนถึงขณะนี้ คุณควรเลือกและแก้ไขไฟล์นโยบายโดเมนเริ่มต้นในรายการฟอเรสต์โดเมน

B. นำทาง ไปยังการกำหนดค่าผู้ใช้ –> นโยบาย –> เทมเพลตการดูแลระบบ –> แผงควบคุม –> ห้ามการเข้าถึงแผงควบคุมและการตั้งค่าพีซี ดับเบิลคลิกและเลือกเปิดใช้งาน

คุณสามารถทำการตั้งค่าความปลอดภัยทุกประเภทที่เกี่ยวข้องกับ ผู้ใช้ และ คอมพิวเตอร์ สำหรับ หน่วยองค์กร นี้ (จำกัดเฉพาะความต้องการและจินตนาการของคุณเท่านั้น) เช่น ที่อยู่ในภาพหน้าจอด้านล่าง แต่นั่นไม่ใช่จุดประสงค์ของบทช่วยสอนนี้ (ฉันได้กำหนดค่าไว้เพื่อการสาธิตเท่านั้น)

9. หลังจากที่คุณเสร็จสิ้นการตั้งค่าความปลอดภัยและการกำหนดค่าทั้งหมดแล้ว ให้ปิดหน้าต่างทั้งหมดและกลับไปที่อินเทอร์เฟซผู้ดูแลระบบเว็บ Zentyal ( https://mydomain.com) ให้ไปที่ < b>โมดูลโดเมน –> ลิงก์นโยบายกลุ่ม เน้นไฟล์ GPO ของคุณจากโดเมนของคุณ ฟอเรสต์ เลือกทั้ง ลิงก์ที่เปิดใช้งานและบังคับใช้ และกดปุ่ม แก้ไข เพื่อใช้การตั้งค่าสำหรับ OU นี้

ดังที่คุณเห็นจากเครื่องมือระยะไกล การจัดการนโยบายกลุ่มของ Windows นโยบายนี้ได้เปิดใช้งานบน OU แล้ว

คุณยังสามารถดูรายการการตั้งค่า OU GPO ทั้งหมดของคุณได้โดยคลิกที่แท็บ การตั้งค่า

10. ตอนนี้เพื่อให้สามารถเห็นการตั้งค่าใหม่ของคุณที่นำไปใช้จริง เพียงแค่รีบูตเครื่อง Windows ของคุณสองครั้งที่เข้าร่วมในโดเมนนี้เพื่อดูผลกระทบ

ขั้นตอนที่ 2: เพิ่มผู้ใช้ลงในหน่วยองค์กร (OU)

ตอนนี้ เรามาเพิ่มผู้ใช้ใน OU ใหม่ของเราเพื่อใช้การตั้งค่าเหล่านี้อย่างมีประสิทธิภาพ สมมติว่าคุณมีข้อสงสัยเกี่ยวกับ user2 ในโดเมนของคุณ และคุณว่าเขามีข้อจำกัดที่ Allowed_User OU GPO กำหนดไว้อย่างไร

11. บน Windows Remote Machine ให้เปิด ผู้ใช้ Active Directory และคอมพิวเตอร์ นำทางไปยัง ผู้ใช้ เลือก user2 และทำ คลิกขวาเพื่อดูเมนู

12. บนหน้าต่างย้าย ให้เลือก Allowed_Users OU แล้วกดตกลง

ขณะนี้การตั้งค่าทั้งหมดใน GPO นี้จะมีผลกับผู้ใช้รายนี้ทันทีที่เขากลับเข้าสู่ระบบในครั้งถัดไป ตามที่พิสูจน์แล้ว ผู้ใช้รายนี้ไม่สามารถเข้าถึงตัวจัดการงาน แผงควบคุม หรือการตั้งค่าคอมพิวเตอร์อื่นๆ ที่เกี่ยวข้องที่เข้าร่วมในโดเมนนี้

การตั้งค่าทั้งหมดนี้เกิดขึ้นได้ภายใต้เซิร์ฟเวอร์ที่ใช้การกระจาย แบบ Linux Zentyal 7.0 พร้อมด้วย ซอฟต์แวร์โอเพ่นซอร์สฟรี >Samba4 และ LDAP ที่ทำงานเกือบจะเหมือนกับเซิร์ฟเวอร์ของแท้ของ Windows และเครื่องมือการจัดการระยะไกลบางอย่างที่มีอยู่ในเครื่อง Windows Desktop