Administrar la directiva de grupo en un dominio administrado de Microsoft Entra Domain Services

Instrucciones
10/23/2023

La configuración de objetos de usuario y equipo de Microsoft Entra Domain Services se administra a menudo mediante objetos de directiva de grupo (GPO). Domain Services incluye GPO integrados para los usuarios de AADDC y equipos de AADDC contenedores. Puede personalizar estos GPO integrados para configurar la directiva de grupo según sea necesario para su entorno. Los miembros de administradores de controlador de dominio de AAD grupo tienen privilegios de administración de directivas de grupo en el dominio de Domain Services y también pueden crear GPO personalizados y unidades organizativas (UO). Para obtener más información sobre qué es la directiva de grupo y cómo funciona, consulte información general sobre la directiva de grupo.

En un entorno híbrido, las directivas de grupo configuradas en un entorno de AD DS local no se sincronizan con Domain Services. Para definir opciones de configuración para usuarios o equipos en Domain Services, edite uno de los GPO predeterminados o cree un GPO personalizado.

En este artículo se muestra cómo instalar las herramientas de administración de directivas de grupo y, a continuación, editar los GPO integrados y crear GPO personalizados. Se recomienda realizar copias de seguridad de GPO después de realizar cambios en ellos. Para obtener más información sobre cómo realizar copias de seguridad y restaurar GPO, consulte Copia de seguridad, restauración, migración y copia de objetos de directiva de grupo.

Si está interesado en la estrategia de administración de servidores, incluidas las máquinas de Azure y conectada híbrida, considere la posibilidad de leer sobre la configuración de invitado de característica de Azure Policy.

Requisitos previos

Para completar este artículo, necesita los siguientes recursos y privilegios:

Una suscripción de Azure activa.
- Si no tiene una suscripción de Azure, crear una cuenta.
Un inquilino de Microsoft Entra asociado a su suscripción, ya sea sincronizado con un directorio local o un directorio solo en la nube.
- Si es necesario, crear un inquilino de Microsoft Entra o asociar una suscripción de Azure a su cuenta.
Un dominio administrado de Microsoft Entra Domain Services habilitado y configurado en el inquilino de Microsoft Entra.
- Si es necesario, complete el tutorial para crear y configurar un dominio administrado de Microsoft Entra Domain Services.
Una máquina virtual de administración de Windows Server que está unida al dominio administrado de Domain Services.
- Si es necesario, complete el tutorial para crear una máquina virtual windows Server y unirla a un dominio administrado.
Una cuenta de usuario que sea miembro del grupo administradores de controlador de dominio de AAD de de AAD en el inquilino de Microsoft Entra.

Nota

Puede usar plantillas administrativas de directiva de grupo copiando las nuevas plantillas en la estación de trabajo de administración. Copie los archivos de .admx en %SYSTEMROOT%\PolicyDefinitions y copie los archivos de .adml específicos de la configuración regional en en %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], donde Language-CountryRegion coincide con el idioma y la región de los archivos de .adml.

Por ejemplo, copie la versión en inglés, Estados Unidos del archivos .adml en la carpeta \en-us.

Instalar herramientas de administración de directivas de grupo

Para crear y configurar el objeto de directiva de grupo (GPO), debe instalar las herramientas de administración de directivas de grupo. Estas herramientas se pueden instalar como una característica en Windows Server. Para obtener más información sobre cómo instalar las herramientas administrativas en un cliente de Windows, vea Instalar Herramientas de administración remota del servidor (RSAT).

Inicie sesión en la máquina virtual de administración. Para obtener pasos sobre cómo conectarse mediante el Centro de administración de Microsoft Entra, consulte Connect to a Windows Server VM.
administrador del servidor debe abrirse de forma predeterminada al iniciar sesión en la máquina virtual. Si no es así, en el menú Inicio de de, seleccione Administrador del servidor.
En el panel panel de de la ventana administrador del servidor de, seleccione Agregar roles y características.
En la página Antes de comenzar de la Asistente para agregar roles y características, seleccione Siguiente.
Para la tipo de instalación, deje activada la opción de instalación basada en roles o basada en características de y seleccione Siguiente.
En la página Selección del servidor, elija la máquina virtual actual en el grupo de servidores, como myvm.aaddscontoso.comy, a continuación, seleccione Siguiente.
En la página roles de servidor de, haga clic en Siguiente.
En la página Características, seleccione la característica administración de directivas de grupo de.
En la página confirmación de, seleccione Instalar. Las herramientas de administración de directivas de grupo pueden tardar un minuto o dos en instalarse.
Una vez completada la instalación de características, seleccione Cerrar para salir del asistente para agregar roles y características .

Abra la Consola de administración de directivas de grupo y edite un objeto

Existen objetos de directiva de grupo (GPO) predeterminados para usuarios y equipos de un dominio administrado. Con la característica administración de directivas de grupo instalada en la sección anterior, veamos y editemos un GPO existente. En la sección siguiente, creará un GPO personalizado.

Nota

Para administrar la directiva de grupo en un dominio administrado, debe iniciar sesión en una cuenta de usuario que sea miembro de la grupo administradores de controlador de dominio de AAD.

En la pantalla Inicio, seleccione Herramientas administrativas. Se muestra una lista de las herramientas de administración disponibles, incluida administración de directivas de grupo instaladas en la sección anterior.
Para abrir la Consola de administración de directivas de grupo (GPMC), elija administración de directivas de grupo.

Hay dos objetos de directiva de grupo (GPO) integrados en un dominio administrado: uno para los equipos de AADDC contenedor de y otro para el contenedor de usuarios de AADDC de AADDC. Puede personalizar estos GPO para configurar la directiva de grupo según sea necesario en el dominio administrado.

En la consola administración de directivas de grupo de, expanda el nodo Bosque: aaddscontoso.com. A continuación, expanda los nodos dominios de.

Existen dos contenedores integrados para equipos de AADDC y usuarios de AADDC. Cada uno de estos contenedores tiene un GPO predeterminado aplicado a ellos.
Estos GPO integrados se pueden personalizar para configurar directivas de grupo específicas en el dominio administrado. Seleccione con el botón derecho uno de los GPO, como GPO equipos de AADDCy, a continuación, elija Editar....
Se abre la herramienta Editor de administración de directivas de grupo para permitirle personalizar el GPO, como directivas de cuenta:

Cuando haya terminado, elija Archivo > Guardar para guardar la directiva. Los equipos actualizan la directiva de grupo de forma predeterminada cada 90 minutos y aplican los cambios realizados.

Crear un objeto de directiva de grupo personalizado

Para agrupar configuraciones de directiva similares, a menudo se crean GPO adicionales en lugar de aplicar todos los valores necesarios en el GPO único predeterminado. Con Domain Services, puede crear o importar sus propios objetos de directiva de grupo personalizados y vincularlos a una unidad organizativa personalizada. Si necesita crear primero una unidad organizativa personalizada, consulte crear una unidad organizativa personalizada en un dominio administrado.

En la consola administración de directivas de grupo de, seleccione la unidad organizativa personalizada (OU), como MyCustomOU. Seleccione la unidad organizativa con el botón derecho y elija Crear un GPO en este dominio y Vincularla aquí...:
Especifique un nombre para el nuevo GPO, como Mide GPO personalizado y, a continuación, seleccione Aceptar. Opcionalmente, puede basar este GPO personalizado en un GPO existente y establecer opciones de directiva.

de GPO personalizado
El GPO personalizado se crea y se vincula a la unidad organizativa personalizada. Para configurar ahora las opciones de directiva, seleccione el GPO personalizado y elija Editar...:
Se abre el editor de administración de directivas de grupo para permitirle personalizar el GPO:

Cuando haya terminado, elija Archivo > Guardar para guardar la directiva. Los equipos actualizan la directiva de grupo de forma predeterminada cada 90 minutos y aplican los cambios realizados.