ウェブサイト検索

Zentyal で組織単位 (OU) を作成し、GPO を有効にする

Windows ベース ノードからの Zentyal PDC のインストール、基本構成、リモート アクセスに関する前の 2 つのチュートリアルを終えた後は、ユーザーとコンピュータにある程度のセキュリティと構成を適用します。これらは、組織単位 (OU) を作成し、GPO (グループ ポリシー) を有効にすることでドメインに参加します。

要件

  • Zentyal を PDC (プライマリ ドメイン コントローラー) としてインストールし、Windows システムを統合する – パート 1
  • Windows システムから Zentyal PDC (プライマリ ドメイン コントローラー) を管理する方法 – パート 2

すでにご存じのとおり、GPO は、ユーザー アカウント、コンピュータ、作業環境、設定、アプリケーション、その他のセキュリティ関連の問題をすべての Windows デスクトップおよびサーバー オペレーティング システム上で一元管理するソフトウェアです。

この主題は非常に複雑であり、この主題に関する大量のドキュメントが公開されていますが、このチュートリアルでは、Zentyal PDC サーバー<に参加しているユーザーとコンピュータで GPO を有効にする方法に関する基本的な実装について説明します。

ステップ 1: 組織単位 (OU) を作成する

1. ドメインまたは IP アドレスを通じて Zentyal Web 管理ツールにアクセスし、ユーザーとコンピュータ モジュール –> 管理 に移動します。 >。

https://your_domain_name:8443
OR
https://your_zentyal_ip_addess:8443

2. ドメインを強調表示し、緑色の [+] ボタンをクリックし、組織単位 を選択して、プロンプトに「」を入力します。組織単位名」 (わかりやすい名前を選択してください) をクリックし、追加 を実行します (OU は、Active Directory ユーザーとコンピュータなどのリモート管理ツールから作成することもできます。グループ ポリシー管理)。

3. 次に、Windows リモート システムに移動し、グループ ポリシー管理ショートカットを開きます (新しく作成された組織単位が表示されます) がドメインに表示されます)。

4. 作成した組織名を右クリックし、[このドメインに GPO を作成し、ここにリンクします…] を選択します。

5. [新しい GPO] プロンプトで、この新しい GPO のわかりやすい名前を入力し、[OK] をクリックします。

6. これにより、この組織単位GPO 基本ファイルが作成されますが、設定はまだ構成されていません。このファイルの編集を開始するには、このファイル名を右クリックし、編集を選択します。

7. これにより、このファイルのグループ ポリシー管理エディタが開きます (これらの設定は、この OU に移動されたユーザーとコンピュータにのみ適用されます)。

8. 次に、このグループ ポリシー ファイルの簡単な設定を始めましょう。

基本的な設定をいくつか紹介します

A. [コンピュータの構成] –> [Windows 設定] –> [セキュリティ設定] –> [ローカル ポリシー<] に移動します。 –> セキュリティ オプション –> 対話型ログオン –> ログオンしようとしているユーザーへのメッセージ テキスト/タイトル にテキストを入力します。 > 両方の設定でこのポリシー設定を定義し、[OK] をクリックします。

警告: この設定をこれまでのドメイン ユーザーとコンピュータ全体に適用するには、ドメイン フォレスト リストでデフォルト ドメイン ポリシー ファイルを選択して編集する必要があります。

B.[ユーザー構成] –> [ポリシー] –> 管理用テンプレート –> コントロールパネルに移動します。 b> –> コントロール パネルと PC 設定へのアクセスを禁止し、ダブルクリックして [有効] を選択します。

この組織単位ユーザーコンピュータに関連するあらゆる種類のセキュリティ設定を行うことができます(限界があるのはあなたのニーズと想像力だけです)。以下のスクリーンショットにあるものですが、それはこのチュートリアルの目的ではありません (デモンストレーションのためだけにこれを設定しました)。

9. すべてのセキュリティ設定と構成を完了したら、すべてのウィンドウを閉じて Zentyal Web 管理インターフェイス ( https://mydomain.com ) に戻り、< に進みます。 b>ドメイン モジュール –> グループ ポリシー リンク、ドメイン フォレストから GPO ファイルを強調表示し、リンクの有効化と強制 の両方を選択します。 [編集] ボタンをクリックして、このOU の設定を適用します。

Windows グループ ポリシー管理 リモート ツールからわかるように、このポリシーは OU で有効になっています。

[設定] タブをクリックすると、すべての OU GPO 設定のリストを表示することもできます。

10. 新しい設定が適用されたことを実際に確認するには、このドメインに参加している Windows マシンを 2 回再起動して効果を確認するだけです。

ステップ 2: ユーザーを組織単位 (OU) に追加する

次に、新しい OU にユーザーを追加して、これらの設定を効果的に適用しましょう。ドメイン上の user2 について疑問があり、彼が Allowed_User OU GPO によって制限を課されることに疑問を抱いているとします。

11. Windows リモート マシンで Active Directory ユーザーとコンピュータ を開き、ユーザー に移動して user2 を選択し、次の操作を行います。右クリックするとメニューが表示されます。

12. [移動] ウィンドウ プロンプトで [Allowed_Users OU] を選択し、[OK] をクリックします。

これで、このGPO のすべての設定が、このユーザーが次回ログインするとすぐに適用されます。証明されているように、このユーザーはタスク マネージャー、コントロール パネル、またはこのドメインに参加しているその他の関連するコンピューター設定にアクセスできません。

これらの設定はすべて、無料のオープンソース ソフトウェア を備えた Linux ベース ディストリビューション Zentyal 7.0 を実行するサーバーで可能になりました。 > Samba4 と LDAP は、Windows の正規サーバーとほぼ同じように動作し、Windows デスクトップ マシンで利用できるいくつかのリモート管理ツールも備えています。