Bearbeiten

Freigeben über

Verwalten von Gruppenrichtlinien in einer verwalteten Domäne von Microsoft Entra Domain Services

  • Vorgehensweise

Einstellungen für Benutzer- und Computerobjekte in Microsoft Entra Domain Services werden häufig mithilfe von Gruppenrichtlinienobjekten (GROUP Policy Objects, GPOs) verwaltet. Domänendienste umfassen integrierte GPOs für die AADDC-Benutzer und AADDC-Computer Containern. Sie können diese integrierten GPOs anpassen, um Gruppenrichtlinien nach Bedarf für Ihre Umgebung zu konfigurieren. Mitglieder der AAD DC-Administratoren Gruppe verfügen über Administratorrechte für Gruppenrichtlinien in der Domäne "Domänendienste" und können auch benutzerdefinierte GPOs und Organisationseinheiten (OUs) erstellen. Weitere Informationen zu den Gruppenrichtlinien und deren Funktionsweise finden Sie unter Gruppenrichtlinienübersicht.

In einer Hybridumgebung werden Gruppenrichtlinien, die in einer lokalen AD DS-Umgebung konfiguriert sind, nicht mit Domänendiensten synchronisiert. Um Konfigurationseinstellungen für Benutzer oder Computer in Domänendiensten zu definieren, bearbeiten Sie eines der Standard-GPOs, oder erstellen Sie ein benutzerdefiniertes Gruppenrichtlinienobjekt.

In diesem Artikel erfahren Sie, wie Sie die Gruppenrichtlinienverwaltungstools installieren, dann die integrierten GPOs bearbeiten und benutzerdefinierte GPOs erstellen. Es wird empfohlen, GPOs zu sichern, nachdem Sie änderungen daran vorgenommen haben. Weitere Informationen zum Sichern und Wiederherstellen von GPOs finden Sie unter Sicherung, Wiederherstellung, Migration und Kopieren von Gruppenrichtlinienobjekten.

Wenn Sie an der Serververwaltungsstrategie interessiert sind, einschließlich Computer in Azure und hybrid verbundenen, sollten Sie sich über die Gastkonfiguration Feature von Azure Policyinformieren.

Voraussetzungen

Um diesen Artikel abzuschließen, benötigen Sie die folgenden Ressourcen und Berechtigungen:

Anmerkung

Sie können administrative Gruppenrichtlinienvorlagen verwenden, indem Sie die neuen Vorlagen auf die Verwaltungsarbeitsstation kopieren. Kopieren Sie die ADMX- Dateien in %SYSTEMROOT%\PolicyDefinitions, und kopieren Sie die gebietsschemaspezifischen ADML- dateien in %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], wobei Language-CountryRegion mit der Sprache und Region der ADML- Dateien übereinstimmt.

Kopieren Sie z. B. die englische Version der ADML- Dateien in den Ordner \en-us.

Installieren von Gruppenrichtlinienverwaltungstools

Zum Erstellen und Konfigurieren des Gruppenrichtlinienobjekts (Group Policy Object, GPOs) müssen Sie die Gruppenrichtlinienverwaltungstools installieren. Diese Tools können als Feature in Windows Server installiert werden. Weitere Informationen zum Installieren der Verwaltungstools auf einem Windows-Client finden Sie unter installieren Remote Server Administration Tools (RSAT).

  1. Melden Sie sich bei Ihrer Verwaltungs-VM an. Schritte zum Herstellen einer Verbindung mit dem Microsoft Entra Admin Center finden Sie unter Herstellen einer Verbindung mit einer Windows Server-VM-.

  2. Server-Manager- sollte standardmäßig geöffnet werden, wenn Sie sich bei der VM anmelden. Wenn nicht, wählen Sie im Menü StartServer-Manageraus.

  3. Wählen Sie im Bereich Dashboard- im Fenster Server-ManagerRollen und Features hinzufügenaus.

  4. Wählen Sie auf der Seite Vor beginn des Assistenten Assistenten zum Hinzufügen von Rollen und Features"Weiter" aus.

  5. Lassen Sie für den Installationstypdie option Rollenbasierte oder featurebasierte Installation aktiviert, und wählen Sie Nextaus.

  6. Wählen Sie auf der Seite Serverauswahl den aktuellen virtuellen Computer aus dem Serverpool aus, z. B. myvm.aaddscontoso.com, und wählen Sie dann Nextaus.

  7. Klicken Sie auf der Seite Serverrollen auf Nächsten.

  8. Wählen Sie auf der Seite Features das feature Gruppenrichtlinienverwaltung aus.

    Installieren der Gruppenrichtlinienverwaltung auf der Seite

  9. Wählen Sie auf der Seite BestätigungInstallierenaus. Es kann eine oder zwei Minuten dauern, bis die Gruppenrichtlinienverwaltungstools installiert werden.

  10. Wenn die Featureinstallation abgeschlossen ist, wählen Sie schließen aus, um den Assistenten Hinzufügen von Rollen und Features zu beenden.

Öffnen der Gruppenrichtlinien-Verwaltungskonsole und Bearbeiten eines Objekts

Standardgruppenrichtlinienobjekte (GPOs) sind für Benutzer und Computer in einer verwalteten Domäne vorhanden. Wenn das Gruppenrichtlinienverwaltungsfeature aus dem vorherigen Abschnitt installiert ist, können wir ein vorhandenes Gruppenrichtlinienobjekt anzeigen und bearbeiten. Im nächsten Abschnitt erstellen Sie ein benutzerdefiniertes Gruppenrichtlinienobjekt.

Anmerkung

Um Gruppenrichtlinien in einer verwalteten Domäne zu verwalten, müssen Sie bei einem Benutzerkonto angemeldet sein, das Mitglied der AAD DC-Administratoren Gruppe ist.

  1. Wählen Sie auf der Startseite Verwaltungstoolsaus. Es wird eine Liste der verfügbaren Verwaltungstools angezeigt, einschließlich Gruppenrichtlinienverwaltung im vorherigen Abschnitt installiert.

  2. Um die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) zu öffnen, wählen Sie Gruppenrichtlinienverwaltungaus.

    Die Gruppenrichtlinien-Verwaltungskonsole wird geöffnet, um Gruppenrichtlinienobjekte

Es gibt zwei integrierte Gruppenrichtlinienobjekte (GROUP Policy Objects, GPOs) in einer verwalteten Domäne : eine für den AADDC-Computer Container und eine für den AADDC-Benutzer Container. Sie können diese GRUPPENrichtlinienobjekte anpassen, um Gruppenrichtlinien nach Bedarf in Ihrer verwalteten Domäne zu konfigurieren.

  1. Erweitern Sie in der konsole Gruppenrichtlinienverwaltung die Gesamtstruktur: aaddscontoso.com Knoten. Erweitern Sie als Nächstes die Domänen Knoten.

    Für AADDC-Computer und AADDC-Benutzersind zwei integrierte Container vorhanden. Jeder dieser Container verfügt über ein Standardmäßiges Gruppenrichtlinienobjekt.

    integrierte GPOs, die auf die Standardcontainer

  2. Diese integrierten GPOs können angepasst werden, um bestimmte Gruppenrichtlinien für Ihre verwaltete Domäne zu konfigurieren. Wählen Sie mit der rechten Maustaste eine der GPOs aus, z. B. AADDC Computers GPO, und wählen Sie dann Bearbeiten....

    Wählen Sie die Option zum Bearbeiten eines der integrierten GPOs

  3. Das Gruppenrichtlinienverwaltungs-Editor-Tool wird geöffnet, damit Sie das Gruppenrichtlinienobjekt anpassen können, z. B. Kontorichtlinien:

    Screenshot des Gruppenrichtlinienverwaltungs-Editors.

    Wenn Sie fertig sind, wählen Sie Datei > Speichern aus, um die Richtlinie zu speichern. Computer aktualisieren Gruppenrichtlinien standardmäßig alle 90 Minuten und wenden die von Ihnen vorgenommenen Änderungen an.

Erstellen eines benutzerdefinierten Gruppenrichtlinienobjekts

Um ähnliche Richtlinieneinstellungen zu gruppieren, erstellen Sie häufig zusätzliche GPOs, anstatt alle erforderlichen Einstellungen im einzelnen Standardrichtlinienobjekt anzuwenden. Mit Domänendiensten können Sie eigene benutzerdefinierte Gruppenrichtlinienobjekte erstellen oder importieren und mit einer benutzerdefinierten OU verknüpfen. Wenn Sie zuerst eine benutzerdefinierte OU erstellen müssen, lesen Sie Erstellen einer benutzerdefinierten OU in einer verwalteten Domäne.

  1. Wählen Sie in der Gruppenrichtlinienverwaltungskonsole Die benutzerdefinierte Organisationseinheit (OU) aus, z. B. MyCustomOU-. Wählen Sie die OU mit der rechten Maustaste aus, und wählen Sie Erstellen eines Gruppenrichtlinienobjekts in dieser Domäne aus, und verknüpfen Sie sie hier...:

    Erstellen eines benutzerdefinierten Gruppenrichtlinienobjekts in der Gruppenrichtlinienverwaltungskonsole

  2. Geben Sie einen Namen für das neue Gruppenrichtlinienobjekt an, z. B. "Mein benutzerdefiniertes Gruppenrichtlinienobjekt", und wählen Sie dann OKaus. Sie können dieses benutzerdefinierte Gruppenrichtlinienobjekt optional auf einem vorhandenen Gruppenrichtlinienobjekt und richtlinienoptionen basieren.

    Geben Sie einen Namen für das neue benutzerdefinierte Gruppenrichtlinienobjekt an

  3. Das benutzerdefinierte Gruppenrichtlinienobjekt wird erstellt und mit Ihrer benutzerdefinierten OU verknüpft. Um jetzt die Richtlinieneinstellungen zu konfigurieren, wählen Sie das benutzerdefinierte Gruppenrichtlinienobjekt mit der rechten Maustaste aus, und wählen Sie Bearbeiten aus...:

    Wählen Sie die Option zum Bearbeiten Ihres benutzerdefinierten Gruppenrichtlinienobjekts aus

  4. Der Gruppenrichtlinienverwaltungs-Editor wird geöffnet, damit Sie das Gruppenrichtlinienobjekt anpassen können:

    Anpassen des Gruppenrichtlinienobjekts zum Konfigurieren von Einstellungen nach Bedarf

    Wenn Sie fertig sind, wählen Sie Datei > Speichern aus, um die Richtlinie zu speichern. Computer aktualisieren Gruppenrichtlinien standardmäßig alle 90 Minuten und wenden die von Ihnen vorgenommenen Änderungen an.

Zugehöriger Inhalt