【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙

  【简介】中大型企业通常会使用Windows Server对电脑进行管理,我们可以利用Windows Server的自动安装功能,将所有电脑安装FortiClient客户端。


  创建组织单位和用户

  通常我们用域服务器中的组织单位来模拟现实中的分公司或部门。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第1张图片

  ① 登录Windows Server服务器,点击左下角视窗图标,弹出菜单选择【服务器管理器】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第2张图片

  ② 在服务器管理器窗口,可以看到已经安装了ADDS域服务。选择菜单【工具】-【Active Direcotry 用户和计算机】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第3张图片

  ③ 在Active Directory 用户与计算机窗口,鼠标右键点击域名称,弹出菜单选择【新建】-【组织单位】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第4张图片

  ④ 输入组织单位名称,可以是分公司名称,也可以是部门名称,这里我们创建一个IT部门。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第5张图片

   ⑤ 在新建立的IT组织单位上点击鼠标右键,弹出菜单选择【新建】-【用户】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第6张图片

  ⑥ 在新建用户窗口,姓和名可以输入中文,但是用户登录名一定是英文。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第7张图片

   ⑦ 输入两次密码,密码要求有字母、数字和符号,符号Windows Server的密码规范要求。钩选【密码永不过期】。默认【用户下次登录时须更改密码】是钩选的,为了省去麻烦,这里去掉了钩选。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第8张图片

  ⑧ 这样就在IT部门创建了一个叫张三的用户了。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第9张图片

  ⑨ 用同样的方法,我们最终在IT部门创建了三个用户。

   创建用户组

  Windows Server通过给用户组赋予不同的权限,来对用户进行批量管理。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第10张图片

  ① 虽然服务器默认有很多用户组,权限也各不相同,但是我们还是需要创建自己的用户组。例如需要创建一个允许通过SSL VPN登录的用户组。鼠标右键点击Users,弹出菜单选择【新建】-【组】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第11张图片

  ② 输入组名,这里我们创建一个给SSL VPN使用的用户组。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第12张图片

  ③ SSL VPN用户组创建后,我们需要加入用户,双击SSL VPN用户组。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第13张图片

  ④ 选择【成员】字菜单,点击【添加】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第14张图片

  ⑤ 输入登录名,点击【检查名称】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第15张图片

  ⑥ 会找到符名输入的用户名称,点击【确定】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第16张图片

  ⑦ 这样一个用户就加入了SSL VPN组了。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第17张图片

  ⑧ 将其它用户也加入SSL VPN组。这样就OK了。

   创建组策略对象

  要想每台电脑登录域服务器后能够自动安装客户端,就需要用到组策略功能。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第18张图片

  ① 回到服务器管理器界面,选择【工具】-【组策略管理】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第19张图片

  ② 将左边目录展开,可以看到服务器默认有两个组策略对象。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第20张图片

  ③ 鼠标右键点击域名,弹出菜单选择【在这个域中创建GPO并在此处链接】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第21张图片

  ④ 输入新的组策略名称,点击【确定】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第22张图片

  ⑤ 点击新建的组策略,在右边安全筛选窗口上点击【添加】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第23张图片

  ⑥ 这次我们要加入的是SSL VPN组,输入ssl,点击【检查名称】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第24张图片

  ⑦ 查找到符合的对象,点击【确定】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第25张图片

  ⑧ 组策略对象关于用户组这段就配置好了。

  配置组策略对象

  在配置组策略对象之前,我们来看看部署FortiClient有什么要求。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第26张图片

  ① 浏览器打开网址docs.fortinet.com,找到EMS管理手册,通过菜单,我们可以找到关于FortiClient部署的要求。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第27张图片

  ② 回到组策略管理界面,鼠标右键点击新建的组策略对象,弹出子菜单选择【编辑】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第28张图片

  ③ 左边树状菜单选择【计算机配置】-【策略】-【Windows设置】-【安全设置】-【系统服务】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第29张图片

  ④ 我们再来复习一下部署FortiClient的要求。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第30张图片

  ⑤ 找到【Task Scheduler】服务,双击进入编辑窗口。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第31张图片

  ⑥ 钩选【定义此策略设置】,服务启动模式选择【自动】,点击【确定】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第32张图片

  ⑦ 找到【Windows Install】服务,双击进入编辑窗口。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第33张图片

  ⑧ 钩选【定义此策略设置】,服务启动模式选择【手动】,点击【确定】。之所以选择手动,而不是自动,是不希望每次电脑登录域都自动安装程序。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第34张图片

  ⑨ 找到【Remote Registry】服务,双击进入编辑窗口。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第35张图片

  ⑩ 钩选【定义此策略设置】,服务启动模式选择【自动】,点击【确定】。这样三个服务都修改完成了。

   ⑾ 再来看看部署FortiClient的另一个条件。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第36张图片

  ⑿ 选择【安全设置】-【高级安全Windows Defender防火墙】-【高级安全Windows Defender防火墙】-【入站规则】,鼠标右键点击,弹出菜单选择【新建规则】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第37张图片

  ⒀ 规则类型选择【预定义】,弹出下拉窗口选择【文件和打印机共享】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第38张图片

  ⒁ 只保留【文件和打印机共享(SMB-In)】钩选,其它去掉钩选,点击【下一步】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第39张图片

  ⒂ 操作保持默认,点击【完成】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第40张图片

  ⒃ 这样一条入站规则就创建好了。再次新建规则。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第41张图片

  ⒄ 规则类型选择【预定义】,弹出下拉窗口选择【远程计划任务管理】,选择【下一步】。

  ⒅ 只保留【远程计划任务管理(RPC)】钩选,其它去掉钩选,点击【下一步】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第42张图片

  ⒆ 操作保持默认,点击【完成】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第43张图片

  ⒇ 这样两条入站规则都创建好了。双击【远程计划任务管理(RPC)】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第44张图片

  (21) 子菜单选择【高级】,配置文件默认三项都有钩选,这里只保留域是钩选,专用和公用取消钩选,点击【确定】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第45张图片

  (22) 返回后可以看到远程计划任务管理(RPC)的配置文件为域,而不是所有。双击【文件和打印机共享(SMB-In)】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第46张图片

  (23) 子菜单选择【高级】,配置文件默认三项都有钩选,这里只保留域是钩选,专用和公用取消钩选,点击【确定】。这样新建的组策略对象就配置完成了。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第47张图片

  (24) 选择菜单【计算机配置】-【策略】-【管理模板】-【网络】-【网络连接】-【Windows Defender 防火墙】-【域配置文件】,双击编辑【Windows Defender 防火墙:允许入站文件和打印机共享例外】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第48张图片

  (25) 弹出窗口选择【已启用】,输入域服务器IP,点击【确定】。这个设置是为了防止客户端防火墙阻拦FortiClient EMS的安装部署。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第49张图片

  (26) 同样选择【Windows Defender 防火墙:允许入站远程管理例处】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第50张图片

  (27) 弹出窗口选择【已启用】,输入域服务器IP,点击【确定】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第51张图片

  (28) 最后选择【Windows Defender 防火墙:允许ICMP例外】。

  (29) 弹出窗口选择【已启用】,只钩选【允许传入回显请求】,点击【确定】。组策略对象就全部配置完了。

   启用组策略对象

  新的组策略对象创建好后,就要配置启动了。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第52张图片

  ① 回到组策略管理窗口,选择新建的组策略对象,右边窗口选择子菜单【设置】,可以看到所有配置的内容。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第53张图片

  ② 点击左边窗口域名,右边窗口选择【链接的组策略对象】,可以看到有两个组策略对象,一个是默认的,一个是新建的,由于匹配顺序是从上到下,我们要象优先执行新建的组策略对象,就必须将新建的组策略对象移到最上面。选择默认组策略对象,点击下移箭头。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第54张图片

  ③ 这样新建的FortiClient安装组策略对象就在最上层,也就会优先执行了。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第55张图片

  ④ 通常新修改的内容会在一段时间后才起作用,着急的话,也可以在DOS命令窗口输入gpupdate /force命令强制更新。

   客户端验证

  有没有效果,可以用客户端登录域来验证一下。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第56张图片

  ① 这里是一台已经登录域的Windows 10电脑。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第57张图片

  ② 由于域服务器的组策略进行了更改,客户端可以退出,再重新登录,也可以在DOS窗口用命令gpresult /H gpresult.html进行更新。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第58张图片

  ③ 在查询栏输入service,自动找到服务应用程序,点击【打开】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第59张图片

  ④ 在服务窗口,找到【Task Scheduler】,可以看到启动类型为【自动】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第60张图片

  ⑤ 在服务窗口,找到【Windows Installer】,可以看到启动类型为【手动】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第61张图片

  ⑥ 在服务窗口找到【Remote Registry】,可以看到启动类型为【自动】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第62张图片

  ⑦ 在查询栏输入firewall,选择【Windows Defender 防火墙】,点击【打开】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第63张图片

  ⑧ 选择【允许应用或功能通过Windows Defender 防火墙】。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第64张图片

  ⑨ 找到【文件和打印机共享】,可以看到是通过组策略配置的。

【高级篇 / ZTNA】(7.0) ❀ 05. 域用户自动安装 FortiClient (上) ❀ FortiGate 防火墙_第65张图片

  ⑩ 找到【远程计划任务管理】,可以看到是通过组策略配置的。这样所有的组策略配置都在终端上实现了。


你可能感兴趣的:(#,ZTNA,FortiClient,EMS,部署,组策略,域)