瞭解如何在AD中鎖定Umbrella漫遊客戶端

簡介

本文說明如何使用組策略對象(GPO)在Active Directory(AD)環境中鎖定Umbrella漫遊客戶端。

必要條件

需求

本文件沒有特定需求。

採用元件

本文檔中的資訊基於Umbrella漫遊客戶端

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

概觀

您希望確保具有本地管理許可權的使用者無法禁用Umbrella漫遊服務。

程序

在Windows 2003/2008域控制器上完成以下步驟：

附註：如果要配置的服務不在清單中，則必須在運行該服務的電腦上安裝GPMC。

1.在Active Directory中建立一個名為Umbrella_Roaming的新安全組。

• 這是必需的，因為您已有一個包含不同域管理員成員的安全組。
  

2.開啟組策略編輯器(開始>運行>型別： gpmc.msc >)，並建立一個名為Umbrella的新組策略對象。

3.編輯新的組策略，然後導航到電腦配置>策略> Windows設定>安全設定>系統服務。

• 需要匯入Umbrella Roaming Client服務，然後才能在System Services下看到它。閱讀此Microsoft文章中有關如何完成此過程的詳細資訊。
  

4.滾動瀏覽列出的服務，直到到達Umbrella Roaming Client服務。

• 完成策略配置後，確保在測試之前使用gpupdate命令更新客戶端。

5.通過按兩下服務名稱來配置服務，選擇定義此策略>「自動」，然後編輯安全組。

6.新增帳戶Network Service並授予Read許可權。根據需要刪除管理員和/或域管理員組。

警告：請勿從清單中刪除系統帳戶或互動式帳戶。

現在，可以正常方式將組策略應用到所需的容器，並允許將策略應用到客戶端電腦。

您可以通過啟用GPO並以管理員或具有您受限的組許可權的帳戶登入客戶端電腦來測試該功能。嘗試停止服務可能導致顯示以下消息：

Could not stop the service on Local Computer. Error 5: Access is denied.

或者，停止服務的選項會呈灰色顯示且不可用。其中任何一項均顯示已配置並成功將GPO應用到客戶端。

如果未顯示錯誤消息，並且您仍然能夠停止受限服務，請檢查是否已正確配置GPO以及是否沒有衝突的GPO。有關詳細資訊，請參閱Microsoft文檔。

確保將相關管理員新增到Umbrella_Roaming組，並且服務GPO允許訪問Umbrella_Roaming組。