在 Zentyal 中创建组织单位 (OU) 并启用 GPO
在我之前两篇有关安装、基本配置和从基于 Windows 节点远程访问 Zentyal PDC 的教程之后,是时候对您的用户和计算机应用一定程度的安全性和配置了通过创建组织单位 (OU) 和启用GPO (组策略) 加入您的域。
要求
- 安装 Zentyal 作为 PDC(主域控制器)并集成 Windows 系统 - 第 1 部分
- 如何从 Windows 系统管理 Zentyal PDC(主域控制器) - 第 2 部分
您可能已经知道,GPO 是一种从所有 Windows 桌面和服务器操作系统上的中心点控制用户帐户、计算机、工作环境、设置、应用程序和其他安全相关问题的软件。
这一主题非常复杂,已经发布了大量有关该主题的文档,但本教程涵盖了如何在加入 Zentyal PDC 服务器< 的用户和计算机上启用 GPO 的一些基本实现。 /强>。
步骤 1:创建组织单位 (OU)
1. 通过域名或 IP 地址访问您的 Zentyal Web 管理工具,然后转到用户和计算机模块 –> 管理。
https://your_domain_name:8443
OR
https://your_zentyal_ip_addess:8443
2. 突出显示您的域,单击绿色的“+
”按钮,选择组织单位,然后根据提示输入您的“组织单位名称”(选择一个描述性名称),然后点击添加(OU 也可以通过远程管理工具创建,例如 Active Directory 用户和计算机或组策略管理)。
3.现在转到您的Windows远程系统并打开组策略管理快捷方式(您可以看到新创建的组织单位 出现在您的域中)。
4. 右键单击刚刚创建的组织名称,然后选择在此域中创建 GPO,然后在此处链接...
5. 在新建 GPO 提示中,输入此新 GPO 的描述性名称,然后单击确定。
6.这将为此组织部门创建GPO基本文件,但尚未配置任何设置。要开始编辑此文件,请右键单击此文件名并选择编辑。
7. 这将打开此文件的组策略管理编辑器(这些设置将仅适用于移至此 OU 的用户和计算机)。
8.现在让我们开始为此组策略文件配置一些简单的设置。
以下是一些基本设置
A. 导航至计算机配置 –> Windows 设置 –> 安全设置 –> 本地策略 –> 安全选项 –> 交互式登录 –> 用户尝试登录的消息文本/标题,在在这两个设置上定义此策略设置,然后单击“确定”。
警告:要在整个域用户和计算机上应用此设置,您应该选择并编辑域林列表上的默认域策略文件。
B.导航用户配置 –> 策略 –> 管理模板 –> 控制面板 –> 禁止访问控制面板和电脑设置,双击并选择启用。
您可以为此组织部门执行与用户和计算机相关的各种安全设置(仅限您的需求和想象力),例如下面的屏幕截图中的内容但这不是本教程的目的(我配置它只是为了演示)。
9. 完成所有安全设置和配置后,关闭所有窗口并返回 Zentyal Web 管理界面 ( https://mydomain.com ),转至 < b>域模块 –> 组策略链接,突出显示域林中的 GPO 文件,选择启用链接和强制链接并点击编辑按钮以应用此OU的设置。
正如您从 Windows 组策略管理远程工具中看到的,此策略已在 OU 上启用。
您还可以通过单击设置选项卡查看所有 OU GPO 设置的列表。
10.现在,为了真正能够看到应用的新设置,只需重新启动加入此域的 Windows 计算机两次即可看到效果。
步骤 2:将用户添加到组织单位 (OU)
现在,让我们将用户添加到新的 OU 中以有效应用这些设置。假设您对域中的 user2 有一些疑问,并且您认为他受到 Allowed_User OU GPO 施加的限制。
11. 在 Windows 远程计算机上打开 Active Directory 用户和计算机,导航到 用户,选择 user2, 并执行右键单击菜单外观。
12. 在“移动”窗口提示中,选择 Allowed_Users OU 并单击“确定”。
现在,此GPO上的所有设置将在该用户下次重新登录时应用到该用户。事实证明,该用户无权访问任务管理器、控制面板或加入此域的其他相关计算机设置。
所有这些设置都可以在运行基于 Linux 的发行版 Zentyal 7.0 以及免费开源软件、Samba4、 和 LDAP,其作用几乎类似于 Windows 正版服务器以及一些可在任何 Windows 桌面计算机上使用的远程管理工具。