Comprendre comment verrouiller le client d'itinérance Umbrella dans Active Directory

Introduction

Ce document décrit comment verrouiller le client d'itinérance Umbrella dans un environnement Active Directory (AD) à l'aide d'objets de stratégie de groupe (GPO).

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur Umbrella Roaming Client

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Aperçu

Vous voulez vous assurer que les utilisateurs disposant d'autorisations d'administration locale ne peuvent pas désactiver le service d'itinérance Umbrella.

Process

Effectuez ces étapes sur un contrôleur de domaine Windows 2003/2008 :

Remarque : Si le service que vous souhaitez configurer ne figure pas dans la liste, vous devez installer la console GPMC sur un ordinateur sur lequel le service est en cours d'exécution.

1. Créez un nouveau groupe de sécurité dans Active Directory appelé Umbrella_Roaming.

• Cela est nécessaire car vous pouvez déjà avoir un groupe de sécurité qui contient différents membres de Domain Admins.
  

2. Ouvrez l'Éditeur de stratégie de groupe (Démarrer > Exécuter > Tapez : gpmc.msc >) et créez un nouvel objet Stratégie de groupe appelé Umbrella.

3. Modifiez la nouvelle stratégie de groupe et accédez à Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Services système.

• Le service client d'itinérance Umbrella doit être importé avant d'être visible sous Services système. Pour plus d'informations sur la procédure à suivre, consultez cet article Microsoft.
  

4. Faites défiler les services répertoriés jusqu’à ce que vous atteigniez le service Umbrella Roaming Client.

• Une fois la configuration des politiques terminée, assurez-vous que le client est mis à jour avec la commande gpupdate avant le test.

5. Configurez le service en double-cliquant sur son nom, sélectionnez Définir cette stratégie > Automatique, puis modifiez les groupes de sécurité.

6. Ajoutez le compte Service réseau et accordez des autorisations de lecture. Supprimez le groupe Administrateurs et/ou Administrateurs de domaine si nécessaire.

Avertissement : NE SUPPRIMEZ PAS les comptes SYSTEM ou INTERACTIVE de la liste.

Vous pouvez maintenant appliquer la stratégie de groupe aux conteneurs requis de la manière normale et autoriser l'application de la stratégie aux ordinateurs clients.

Vous pouvez tester la fonctionnalité en activant l'objet de stratégie de groupe et en vous connectant à un ordinateur client en tant qu'administrateur ou en tant que compte avec des autorisations de groupe que vous avez restreintes. Si vous tentez d'arrêter le service, le message suivant peut s'afficher :

Could not stop the service on Local Computer. Error 5: Access is denied.

L'option d'arrêt du service est également grisée et indisponible. L'un ou l'autre de ces éléments indique que l'objet de stratégie de groupe a été configuré et appliqué correctement au client.

Si le message d'erreur ne s'affiche pas et que vous êtes toujours en mesure d'arrêter un service restreint, vérifiez que l'objet de stratégie de groupe a été configuré correctement et qu'il n'y a pas de conflit d'objets de stratégie de groupe. Pour plus d'informations, consultez la documentation Microsoft.

Assurez-vous que les administrateurs concernés sont ajoutés au groupe Umbrella_Roaming et que l'objet de stratégie de groupe de service autorise l'accès au groupe Umbrella_Roaming.