Administrer la stratégie de groupe dans un domaine managé Microsoft Entra Domain Services

Procédures
12/11/2023

Les paramètres des objets utilisateur et ordinateur dans Microsoft Entra Domain Services sont souvent gérés à l’aide d’objets de stratégie de groupe (GPO). Les services de domaine incluent des objets de stratégie de groupe intégrés pour les conteneurs utilisateurs AADDC et ordinateurs AADDC. Vous pouvez personnaliser ces objets de stratégie de groupe intégrés pour configurer la stratégie de groupe en fonction des besoins de votre environnement. Les membres du groupe administrateurs AAD DC disposent de privilèges d’administration de stratégie de groupe dans le domaine Des services de domaine et peuvent également créer des objets de stratégie de groupe et des unités d’organisation personnalisées. Pour plus d’informations sur la stratégie de groupe et son fonctionnement, consultez vue d’ensemble de la stratégie de groupe.

Dans un environnement hybride, les stratégies de groupe configurées dans un environnement AD DS local ne sont pas synchronisées avec les services de domaine. Pour définir des paramètres de configuration pour les utilisateurs ou les ordinateurs dans Domain Services, modifiez l’un des objets de stratégie de groupe par défaut ou créez un objet de stratégie de groupe personnalisé.

Cet article explique comment installer les outils de gestion des stratégies de groupe, puis modifier les objets de stratégie de groupe intégrés et créer des objets de stratégie de groupe personnalisés. Nous vous recommandons de sauvegarder des objets de stratégie de groupe après avoir apporté des modifications à ces objets. Pour plus d’informations sur la sauvegarde et la restauration des objets de stratégie de groupe, consultez Sauvegarde, restauration, migration et copiez des objets de stratégie de groupe.

Si vous êtes intéressé par la stratégie de gestion de serveur, y compris les machines dans Azure et connectée hybride, envisagez de lire la fonctionnalité de configuration invité de Azure Policy.

Prérequis

Pour terminer cet article, vous avez besoin des ressources et des privilèges suivants :

Un abonnement Azure actif.
- Si vous n’avez pas d’abonnement Azure, créez un compte.
Un locataire Microsoft Entra associé à votre abonnement, synchronisé avec un répertoire local ou un répertoire cloud uniquement.
- Si nécessaire, créer un de locataire Microsoft Entra ou associer un abonnement Azure à votre compte.
Un domaine managé Microsoft Entra Domain Services activé et configuré dans votre locataire Microsoft Entra.
- Si nécessaire, suivez le tutoriel pour créer et configurer un domaine managé Microsoft Entra Domain Services.
Machine virtuelle d’administration Windows Server jointe au domaine managé Des services de domaine.
- Si nécessaire, suivez le didacticiel pour créer une machine virtuelle Windows Server et la joindre à un domaine managé.
Un compte d’utilisateur membre de l'administrateurs AAD DC groupe dans votre locataire Microsoft Entra.

Note

Vous pouvez utiliser des modèles d’administration de stratégie de groupe en copiant les nouveaux modèles dans la station de travail de gestion. Copiez les fichiers .admx dans %SYSTEMROOT%\PolicyDefinitions et copiez les fichiers .adml spécifiques aux paramètres régionaux dans %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], où Language-CountryRegion correspond à la langue et à la région des fichiers .adml.

Par exemple, copiez la version anglaise des fichiers .adm l .adml dans le dossier \en-us.

Installer les outils de gestion des stratégies de groupe

Pour créer et configurer des objets de stratégie de groupe (GPO), vous devez installer les outils de gestion des stratégies de groupe. Ces outils peuvent être installés en tant que fonctionnalité dans Windows Server. Pour plus d’informations sur l’installation des outils d’administration sur un client Windows, consultez installer outils d’administration de serveur distant (RSAT).

Connectez-vous à votre machine virtuelle de gestion. Pour savoir comment vous connecter à l’aide du Centre d’administration Microsoft Entra, consultez Se connecter à une machine virtuelle Windows Server.
gestionnaire de serveur doit s’ouvrir par défaut lorsque vous vous connectez à la machine virtuelle. Si ce n’est pas le cas, dans le menu Démarrer , sélectionnez du Gestionnaire de serveur.
Dans le volet tableau de bord de la fenêtre gestionnaire de serveur, sélectionnez Ajouter des rôles et des fonctionnalités.
Dans la page Avant de commencer de l’Assistant Ajout de rôles et de fonctionnalités , sélectionnez suivant.
Pour le type d’installation , laissez l'option d’installation basée sur les rôles ou les fonctionnalités activée, puis sélectionnez suivant .
Dans la page Sélection du serveur, choisissez la machine virtuelle active dans le pool de serveurs, par exemple myvm.aaddscontoso.com, puis sélectionnez suivant.
Dans la page rôles de serveur, cliquez sur suivant .
Dans la page Fonctionnalités, sélectionnez la fonctionnalité de gestion des stratégies de groupe.
Dans la page confirmation, sélectionnez Installer. L’installation des outils de gestion des stratégies de groupe peut prendre une minute ou deux.
Une fois l’installation des fonctionnalités terminée, sélectionnez Fermer pour quitter l’Assistant Ajouter des rôles et des fonctionnalités.

Ouvrez la console de gestion des stratégies de groupe et modifiez un objet

Les objets de stratégie de groupe par défaut existent pour les utilisateurs et les ordinateurs d’un domaine managé. Avec la fonctionnalité gestion des stratégies de groupe installée à partir de la section précédente, nous allons afficher et modifier un objet de stratégie de groupe existant. Dans la section suivante, vous allez créer un objet de stratégie de groupe personnalisé.

Note

Pour administrer la stratégie de groupe dans un domaine managé, vous devez être connecté à un compte d’utilisateur membre du groupe administrateurs AAD DC.

Dans l’écran de démarrage, sélectionnez Outils d’administration. Une liste des outils de gestion disponibles s’affiche, notamment gestion des stratégies de groupe installée dans la section précédente.
Pour ouvrir la console de gestion des stratégies de groupe (GPMC), choisissez gestion des stratégies de groupe.

Il existe deux objets de stratégie de groupe intégrés dans un domaine managé : un pour les ordinateurs AADDC conteneur et un pour le conteneur utilisateurs AADDC. Vous pouvez personnaliser ces objets de stratégie de groupe pour configurer la stratégie de groupe en fonction des besoins dans votre domaine managé.

Dans la console gestion des stratégies de groupe, développez la forêt : nœud aaddscontoso.com. Ensuite, développez les Domaines nœuds.

Deux conteneurs intégrés existent pour ordinateurs AADDC et utilisateurs AADDC. Chacun de ces conteneurs a un objet de stratégie de groupe par défaut qui leur est appliqué.
Ces objets de stratégie de groupe intégrés peuvent être personnalisés pour configurer des stratégies de groupe spécifiques sur votre domaine managé. Sélectionnez avec le bouton droit l’un des objets de stratégie de groupe, tels que objet de stratégie de groupe des ordinateurs AADDC, puis choisissez Modifier....
L’outil Éditeur de gestion des stratégies de groupe s’ouvre pour vous permettre de personnaliser l’objet de stratégie de groupe, tel que stratégies de compte:

capture d’écran

Lorsque vous avez terminé, choisissez Fichier > Enregistrer pour enregistrer la stratégie. Les ordinateurs actualisent la stratégie de groupe par défaut toutes les 90 minutes et appliquent les modifications que vous avez apportées.

Créer un objet de stratégie de groupe personnalisé

Pour regrouper des paramètres de stratégie similaires, vous créez souvent des objets de stratégie de groupe supplémentaires au lieu d’appliquer tous les paramètres requis dans l’objet de stratégie de groupe par défaut unique. Avec Domain Services, vous pouvez créer ou importer vos propres objets de stratégie de groupe personnalisés et les lier à une unité d’organisation personnalisée. Si vous devez d’abord créer une unité d’organisation personnalisée, consultez créer une unité d’organisation personnalisée dans un domaine managé.

Dans la console gestion des stratégies de groupe, sélectionnez votre unité d’organisation personnalisée(UO), par exemple MyCustomOU. Sélectionnez avec le bouton droit l’unité d’organisation et choisissez Créer un objet de stratégie de groupe dans ce domaine, puis liez-la ici...:
Spécifiez un nom pour le nouvel objet de stratégie de groupe, tel que Mon objet de stratégie de groupe personnalisé, puis sélectionnez OK. Vous pouvez éventuellement baser cet objet de stratégie de groupe personnalisé sur un objet de stratégie de groupe existant et un ensemble d’options de stratégie.
L’objet de stratégie de groupe personnalisé est créé et lié à votre unité d’organisation personnalisée. Pour configurer les paramètres de stratégie, sélectionnez avec le bouton droit l’objet de stratégie de groupe personnalisé et choisissez Modifier...:
L’éditeur de gestion des stratégies de groupe s’ouvre pour vous permettre de personnaliser l’objet de stratégie de groupe :

Lorsque vous avez terminé, choisissez Fichier > Enregistrer pour enregistrer la stratégie. Les ordinateurs actualisent la stratégie de groupe par défaut toutes les 90 minutes et appliquent les modifications que vous avez apportées.