ADでUmbrellaローミングクライアントをロックダウンする方法を理解する

はじめに

このドキュメントでは、グループポリシーオブジェクト(GPO)を使用してActive Directory(AD)環境でUmbrella Roaming Client(UWL)をロックダウンする方法について説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、Umbrellaローミングクライアントに基づくものです

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

概要

ローカル管理者権限を持つユーザがUmbrella Roamingサービスを無効にできないようにする必要があります。

プロセス

Windows 2003/2008ドメインコントローラで次の手順を実行します。

注：構成するサービスが一覧にない場合は、サービスを実行しているコンピューターにGPMCをインストールする必要があります。

1. Active DirectoryにUmbrella_Roamingという名前の新しいセキュリティグループを作成します。

• これは、Domain Adminsの異なるメンバーを含むセキュリティグループがすでに存在する可能性があるためです。
  

2.グループポリシーエディタ(Start > Run > Type: gpmc.msc >)を開き、Umbrellaという名前の新しいグループポリシーオブジェクトを作成します。

3. 新しいグループポリシーを編集し、Computer Configuration > Policies > Windows Settings > Security Settings > System Servicesの順に移動します。

• Umbrella Roaming Clientサービスは、システムサービスで表示する前にインポートする必要があります。このプロセスを完了する方法の詳細については、Microsoftの記事を参照してください。
  

4. Umbrella Roaming Clientサービスに到達するまで、リストされたサービスをスクロールします。

• ポリシーの設定が完了したら、テストを行う前に、必ずgpupdateコマンドを使用してクライアントを更新してください。

5. サービス名をダブルクリックしてサービスを設定し、Define this policy > Automaticの順に選択してから、セキュリティグループを編集します。

6. アカウントNetwork Serviceを追加して、読み取り権限を付与します。必要に応じて、AdministratorsグループまたはDomain Administratorsグループ（あるいはその両方）を削除します。

警告：リストからSYSTEMアカウントまたはINTERACTIVEアカウントを削除しないでください。

これで、グループポリシーを通常の方法で必要なコンテナに適用し、ポリシーをクライアントコンピュータに適用できるようになりました。

この機能をテストするには、GPOを有効にして、管理者または制限したグループ権限を持つアカウントとしてクライアントコンピューターにログオンします。サービスを停止しようとすると、次のメッセージが表示される可能性があります。

Could not stop the service on Local Computer. Error 5: Access is denied.

または、サービスを停止するオプションがグレー表示され、使用できません。これらのいずれかが、GPOが正しく設定され、クライアントに適用されたことを示しています。

このエラーメッセージが表示されず、制限されたサービスを停止できる場合は、GPOが正しく構成されていること、および競合するGPOがないことを確認してください。詳細については、Microsoftのドキュメントを参照してください。

関連する管理者がUmbrella_Roamingグループに追加され、サービスGPOでUmbrella_Roamingグループへのアクセスが許可されていることを確認します。