فهم كيفية تأمين عميل Umbrella Roaming في AD

المقدمة

يوضح هذا المستند كيفية تأمين عميل Umbrella Roaming Client على بيئة Active Directory (AD) باستخدام كائنات نهج المجموعة (GPOs).

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى Umbrella Roaming Client

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

نظرة عامة

أنت تريد التأكد من عدم قدرة المستخدمين الذين لديهم أذونات إدارية محلية على تعطيل خدمة Umbrella Roaming.

العملية

أكمل الخطوات التالية على وحدة التحكم بالمجال بنظام التشغيل Windows 2003/2008:

ملاحظة: إذا كانت الخدمة التي تريد تكوينها غير موجودة في القائمة، يجب تثبيت GPMC على جهاز كمبيوتر به الخدمة قيد التشغيل.

1. إنشاء مجموعة أمان جديدة في Active Directory تسمى Umbrella_Roaming.

• وهذا مطلوب لأنه يمكن أن يكون لديك مجموعة أمان تحتوي بالفعل على أعضاء مختلفين لمسؤولي المجال.
  

2. افتح محرر نهج المجموعة (ابدأ > تشغيل > نوع: gpmc.msc >) وقم بإنشاء كائن نهج مجموعة جديد يسمى Umbrella.

3. قم بتحرير نهج المجموعة الجديد وانتقل إلى تكوين الكمبيوتر > السياسات > إعدادات Windows > إعدادات الأمان > خدمات النظام.

• يلزم إستيراد خدمة Umbrella Roaming Client (عميل حماية التجول) قبل أن تتمكن من رؤيتها ضمن خدمات النظام. قراءة المزيد حول كيفية إكمال هذه العملية في مقالة Microsoft هذه.
  

4. قم بالتمرير عبر الخدمات المدرجة حتى تصل إلى خدمة Umbrella Roaming Client.

• بمجرد اكتمال تكوين النهج، تأكد من تحديث العميل باستخدام الأمر gpupdate قبل الاختبار.

5. قم بتكوين الخدمة بالنقر المزدوج على اسم الخدمة، وحدد تعريف هذا النهج > تلقائي، ثم قم بتحرير مجموعات الأمان.

6. أضف خدمة شبكة الحساب ومنح أذونات القراءة. قم بإزالة Administrators و/أو مجموعة Domain Administrators حسب الطلب.

تحذير: لا تقم بإزالة النظام أو الحسابات التفاعلية من القائمة.

يمكنك الآن تطبيق نهج المجموعة على الحاويات المطلوبة بالطريقة العادية والسماح بتطبيق النهج على أجهزة الكمبيوتر العميلة.

يمكنك إختبار الوظائف من خلال تمكين GPO وتسجيل الدخول إلى كمبيوتر عميل كمسؤول أو كحساب بأذونات المجموعة التي قمت بتقييدها. قد تؤدي محاولة إيقاف الخدمة إلى عرض هذه الرسالة:

Could not stop the service on Local Computer. Error 5: Access is denied.

وبدلا من ذلك، يكون خيار إيقاف الخدمة مبهما وغير متاح. يظهر أي من هذه العناصر أنه تم تكوين GPO وتطبيقه على العميل بنجاح.

إذا لم يتم عرض رسالة الخطأ وما زلت قادرا على إيقاف خدمة مقيدة، فتحقق من تكوين GPO بشكل صحيح ومن عدم وجود GPOs متعارضة. لمزيد من المعلومات، راجع وثائق Microsoft.

تأكد من إضافة المسؤولين ذوي الصلة إلى مجموعة Umbrella_Roaming وأن الخدمة GPO تسمح بالوصول إلى مجموعة Umbrella_Roaming.