了解如何在AD中锁定Umbrella漫游客户端
简介
本文档介绍如何使用组策略对象(GPO)在Active Directory(AD)环境中锁定Umbrella漫游客户端。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于Umbrella漫游客户端
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
概述
您希望确保具有本地管理权限的用户无法禁用Umbrella漫游服务。
Process
在Windows 2003/2008域控制器上完成以下步骤:
注意:如果要配置的服务不在列表中,则必须在运行该服务的计算机上安装GPMC。
1.在Active Directory中创建一个名为Umbrella_Roaming的新安全组。
- 这是必需的,因为您已经有一个包含不同的域管理员成员的安全组。
2.打开组策略编辑器(开始>运行>类型:gpmc.msc >),并创建一个名为Umbrella的新组策略对象。
3.编辑新的组策略,然后导航到计算机配置>策略> Windows设置>安全设置>系统服务。
- 需要导入
Umbrella漫游客户端服务,才能在System Services下看到它。阅读此Microsoft文章中有关如何完成此过程的详细信息。
4.滚动浏览列出的服务,直到到达Umbrella漫游客户端服务。
- 完成策略配置后,确保在测试之前使用
gpupdate命令更新客户端。
5.通过双击服务名称配置服务,选择定义此策略>“自动”,然后编辑安全组。
6.添加帐户Network Service并授予Read权限。根据需要删除管理员和/或域管理员组。
警告:请勿从列表中删除系统帐户或交互式帐户。
现在,您可以以正常方式将组策略应用到所需的容器,并允许将策略应用到客户端计算机。
您可以通过启用GPO并以管理员或具有您受限的组权限的帐户身份登录客户端计算机来测试该功能。尝试停止服务可能导致显示以下消息:
Could not stop the service on Local Computer. Error 5: Access is denied.或者,停止服务的选项会灰显且不可用。其中任一显示已配置并成功将GPO应用到客户端。
如果没有显示错误消息,并且您仍然能够停止受限制服务,请检查是否已正确配置GPO以及不存在冲突的GPO。有关详细信息,请参阅Microsoft文档。
确保将相关管理员添加到Umbrella_Roaming组,并且服务GPO允许访问Umbrella_Roaming组。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
23-Sep-2025
|
初始版本 |
反馈