高级篇 / ZTNA(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙

Posted 2022-09-07 飞塔老梅子

　　【简介】中大型企业通常会使用Windows Server对电脑进行管理，我们可以利用Windows Server的自动安装功能，将所有电脑安装FortiClient客户端。

---

  创建用户

　　要想通过服务器的验证，必须先在服务器上创建用户。

　　① 登录Windows Server服务器，点击左下角视窗图标，弹出菜单选择【服务器管理器】。

　　② 在服务器管理器窗口，可以看到已经安装了ADDS域服务。选择菜单【工具】-【Active Direcotry 用户和计算机】。

　　③ 在Active Directory 用户与计算机窗口，鼠标右键点击域名称，弹出菜单选择【新建】-【组织单位】。

　　④ 输入组织单位名称，这里可以是分公司名称，也可以是部门名称，这里我们创建一个IT部门。

 　　⑤ 在新建立的IT组织单位上点击鼠标右键，弹出菜单选择【新建】-【用户】。

　　⑥ 在新建用户窗口，姓和名可以输入中文，但是用户登录名一定是英文。

 　　⑦ 输入两次密码，密码要求有字母、数字和符号，符号Windows Server的密码规范要求。钩选【密码永不过期】。默认【用户下次登录时须更改密码】是钩选的，为了省去麻烦，这里去掉了钩选。

　　⑧ 这样就在IT部门创建了一个叫张三的用户了。

　　⑨ 用同样的方法，我们最终在IT部门创建了三个用户。

   创建组

　　Windows Server通过给组赋予权限，来对用户进行批量管理。

　　① 虽然服务器默认有很多用户组，权限也各不相同，但是我们还是需要创建自己的用户组。例如需要创建一个允许通过SSL VPN登录的用户组。鼠标右键点击Users，弹出菜单选择【新建】-【组】。

　　② 输入组名，这里我们创建一个给SSL VPN使用的用户组。

　　③ SSL VPN用户组创建后，我们需要加入用户，双击SSL VPN用户组。

　　④ 选择【成员】字菜单，点击【添加】。

　　⑤ 输入登录名，点击【检查名称】。

　　⑥ 会找到符名输入的用户名称，点击【确定】。

　　⑦ 这样一个用户就加入了SSL VPN组了。

　　⑧ 将其它用户也加入SSL VPN组。这样就OK了。

   创建组策略

　　要想每台电脑登录域服务器后安装客户端，就需要用到组策略功能。

　　① 回到服务器管理器界面，选择【工具】-【组策略管理】。

　　② 将左边目录展开，可以看到服务器默认有两个组策略对象。

　　③ 鼠标右键点击域名，弹出菜单选择【在这个域中创建GPO并在此处链接】。

　　④ 输入新的组策略名称，点击【确定】。

　　⑤ 点击新建的组策略，在右边安全筛选窗口上点击【添加】。

　　⑥ 这次我们要加入的是SSL VPN组，输入ssl，点击【检查名称】。

　　⑦ 查找到符合的对象，点击【确定】。

　　⑧ 组策略对象关于用户组这段就配置好了。

   FortiClient 安装组策略配置

　　前面准备工作都完成了，我们来看看布署FortiClient有什么要求。

　　① 浏览器打开网址docs.fortinet.com，找到EMS管理手册，通过菜单，我们可以找到关于FortiClient布署的要求。

　　② 回到组策略管理界面，鼠标右键点击新建的组策略对象，弹出子菜单选择【编辑】。

　　③ 左边树状菜单选择【计算机配置】-【策略】-【Windows设置】-【安全设置】-【系统服务】。

　　④ 我们再来复习一下部署FortiClient的要求。

　　⑤ 找到【Task Scheduler】服务，双击进入编辑窗口。

　　⑥ 钩选【定义此策略设置】，服务启动模式选择【自动】，点击【确定】。

　　⑦ 找到【Windows Install】服务，双击进入编辑窗口。

　　⑧ 钩选【定义此策略设置】，服务启动模式选择【手动】，点击【确定】。之所以选择手动，而不是自动，是不希望每次电脑登录域都自动安装程序。

　　⑨ 找到【Remote Registry】服务，双击进入编辑窗口。

　　⑩ 钩选【定义此策略设置】，服务启动模式选择【自动】，点击【确定】。这样三个服务都修改完成了。

 　　⑾ 再来看看部署FortiClient的另一个条件。

　　⑿ 选择【安全设置】-【高级安全Windows Defender防火墙】-【高级安全Windows Defender防火墙】-【入站规则】，鼠标右键点击，弹出菜单选择【新建规则】。

　　⒀ 规则类型选择【预定义】，弹出下拉窗口选择【文件和打印机共享】。

　　⒁ 只保留【文件和打印机共享(SMB-In)】钩选，其它去掉钩选，点击【下一步】。

　　⒂ 操作保持默认，点击【完成】。

　　⒃ 这样一条入站规则就创建好了。再次新建规则。

　　⒄ 规则类型选择【预定义】，弹出下拉窗口选择【远程计划任务管理】，选择【下一步】。

　　⒅ 只保留【远程计划任务管理(RPC)】钩选，其它去掉钩选，点击【下一步】。

　　⒆ 操作保持默认，点击【完成】。

　　⒇ 这样两条入站规则都创建好了。

---