Groepsbeleid beheren in een door Microsoft Entra Domain Services beheerd domein

Uitleg
10/19/2023

Instellingen voor gebruikers- en computerobjecten in Microsoft Entra Domain Services worden vaak beheerd met groepsbeleidsobjecten (GPO's). Domain Services bevat ingebouwde GPO's voor de AADDC-gebruikers en AADDC-computers containers. U kunt deze ingebouwde GPO's aanpassen om groepsbeleid zo nodig voor uw omgeving te configureren. Leden van de AAD DC-beheerders groep hebben groepsbeleidsbeheerbevoegdheden in het domein Domain Services en kunnen ook aangepaste GPO's en organisatie-eenheden (OE's) maken. Zie Overzicht van groepsbeleidvoor meer informatie over wat Groepsbeleid is en hoe het werkt.

In een hybride omgeving worden groepsbeleidsregels die zijn geconfigureerd in een on-premises AD DS-omgeving, niet gesynchroniseerd met Domain Services. Als u configuratie-instellingen wilt definiëren voor gebruikers of computers in Domain Services, bewerkt u een van de standaard groepsbeleidsobjecten of maakt u een aangepast groepsbeleidsobject.

In dit artikel leest u hoe u de hulpprogramma's voor groepsbeleidsbeheer installeert en vervolgens de ingebouwde GPO's bewerkt en aangepaste groepsbeleidsobjecten maakt. U wordt aangeraden een back-up te maken van GPO's nadat u wijzigingen hebt aangebracht. Zie Back-up maken, herstellen, migreren en kopiëren van groepsbeleidsobjectenvoor meer informatie over het maken en herstellen van groepsbeleidsobjecten.

Als u geïnteresseerd bent in serverbeheerstrategie, inclusief machines in Azure en hybride verbonden, kunt u overwegen om te lezen over de gastconfiguratie functie van Azure Policy-.

Vereisten

U hebt de volgende resources en bevoegdheden nodig om dit artikel te voltooien:

Een actief Azure-abonnement.
- Als u geen Azure-abonnement hebt, u een accountmaken.
Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met een on-premises directory of een cloudmap.
- indien nodig een Microsoft Entra-tenant maken of een Azure-abonnement koppelen aan uw account.
Een door Microsoft Entra Domain Services beheerd domein ingeschakeld en geconfigureerd in uw Microsoft Entra-tenant.
- Voltooi indien nodig de zelfstudie voor het maken en configureren van een door Microsoft Entra Domain Services beheerd domein.
Een Windows Server-beheer-VM die is gekoppeld aan het beheerde domein Domain Services.
- Voltooi indien nodig de zelfstudie voor het maken van een Virtuele Windows Server-machine en voeg deze toe aan een beheerd domein.
Een gebruikersaccount dat lid is van de AAD DC-beheerders groep in uw Microsoft Entra-tenant.

Notitie

U kunt beheersjablonen voor groepsbeleid gebruiken door de nieuwe sjablonen naar het beheerwerkstation te kopiëren. Kopieer de .admx--bestanden naar %SYSTEMROOT%\PolicyDefinitions en kopieer de landinstellingenspecifieke .adml--bestanden naar %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], waarbij Language-CountryRegion overeenkomt met de taal en regio van de .adml--bestanden.

Kopieer bijvoorbeeld de Engelse, Verenigde Staten-versie van de .adml--bestanden naar de map \en-us.

Hulpprogramma's voor groepsbeleidsbeheer installeren

Als u Groepsbeleidsobject (GPO's) wilt maken en configureren, moet u de hulpprogramma's voor groepsbeleidsbeheer installeren. Deze hulpprogramma's kunnen worden geïnstalleerd als een functie in Windows Server. Zie RSAT (Remote Server Administration Tools) installerenvoor meer informatie over het installeren van de beheerprogramma's op een Windows-client.

Meld u aan bij uw beheer-VM. Zie Verbinding maken met een Windows Server-VM-voor stappen voor het maken van verbinding met het Microsoft Entra-beheercentrum.
Serverbeheer moet standaard worden geopend wanneer u zich aanmeldt bij de virtuele machine. Als dat niet zo is, selecteert u Serverbeheerin het menu Start.
Selecteer in het deelvenster van Serverbeheer venster Functies en onderdelen toevoegen.
Selecteer op de pagina Voordat u begint van de wizard Functies en onderdelen toevoegen Volgende.
Laat voor het installatietypede optie installatie op basis van rollen of onderdelen ingeschakeld en selecteer Volgende.
Kies op de pagina Serverselectie de huidige VIRTUELE machine in de servergroep, zoals myvm.aaddscontoso.com, en selecteer vervolgens Volgende.
Klik op de pagina Serverfuncties op Volgende.
Selecteer op de pagina Functies de functie Groepsbeleidsbeheer.
Selecteer op de pagina BevestigingInstalleren. Het kan enkele minuten duren voordat de hulpprogramma's voor groepsbeleidsbeheer zijn geïnstalleerd.
Wanneer de installatie van de functie is voltooid, selecteert u sluiten om de wizard Functies en onderdelen toevoegen af te sluiten.

Open de console Groepsbeleidsbeheer en bewerk een object

Standaard groepsbeleidsobjecten (GPO's) bestaan voor gebruikers en computers in een beheerd domein. Nu de functie Groepsbeleidsbeheer is geïnstalleerd uit de vorige sectie, gaan we een bestaand groepsbeleidsobject bekijken en bewerken. In de volgende sectie maakt u een aangepast groepsbeleidsobject.

Notitie

Als u groepsbeleid in een beheerd domein wilt beheren, moet u zijn aangemeld bij een gebruikersaccount dat lid is van de AAD DC-beheerders groep.

Selecteer in het startscherm Systeembeheer. Er wordt een lijst met beschikbare beheerprogramma's weergegeven, waaronder Groepsbeleidsbeheer geïnstalleerd in de vorige sectie.
Als u de Console Groepsbeleidsbeheer (GPMC) wilt openen, kiest u Groepsbeleidsbeheer.

Er zijn twee ingebouwde groepsbeleidsobjecten (GPO's) in een beheerd domein: één voor de AADDC-computers container, en een voor de AADDC-gebruikers container. U kunt deze GPO's aanpassen om groepsbeleid zo nodig te configureren binnen uw beheerde domein.

Vouw in de console Groepsbeleidsbeheer het Forest uit: aaddscontoso.com knooppunt. Vouw vervolgens de knooppunten Domains uit.

Er bestaan twee ingebouwde containers voor AADDC-computers en AADDC-gebruikers. Voor elk van deze containers is een standaard groepsbeleidsobject toegepast.
Deze ingebouwde GPO's kunnen worden aangepast om specifieke groepsbeleidsregels voor uw beheerde domein te configureren. Selecteer met de rechtermuisknop een van de groepsbeleidsobjecten, zoals groepsbeleidsobject voor AADDC-computersen kies vervolgens Bewerken....
Het hulpprogramma Editor voor groepsbeleidsbeheer wordt geopend, zodat u het groepsbeleidsobject kunt aanpassen, zoals accountbeleid:

Wanneer u klaar bent, kiest u Bestand > Opslaan om het beleid op te slaan. Computers vernieuwen groepsbeleid standaard elke 90 minuten en pas de wijzigingen toe die u hebt aangebracht.

Een aangepast groepsbeleidsobject maken

Als u vergelijkbare beleidsinstellingen wilt groeperen, maakt u vaak extra GPO's in plaats van alle vereiste instellingen toe te passen in het ene standaard groepsbeleidsobject. Met Domain Services kunt u uw eigen aangepaste groepsbeleidsobjecten maken of importeren en deze koppelen aan een aangepaste organisatie-eenheid. Zie een aangepaste organisatie-eenheid maken in een beheerd domeinals u eerst een aangepaste organisatie-eenheid wilt maken.

Selecteer in de Console groepsbeleidsbeheer uw aangepaste organisatie-eenheid (OE), zoals MyCustomOU. Selecteer met de rechtermuisknop de organisatie-eenheid en kies Een groepsbeleidsobject maken in dit domein en koppel deze hier...:
Geef een naam op voor het nieuwe groepsbeleidsobject, zoals Mijn aangepaste groepsbeleidsobjecten selecteer vervolgens OK. U kunt dit aangepaste groepsbeleidsobject desgewenst baseren op een bestaand groepsbeleidsobject en een set beleidsopties.
Het aangepaste groepsbeleidsobject wordt gemaakt en gekoppeld aan uw aangepaste organisatie-eenheid. Als u nu de beleidsinstellingen wilt configureren, selecteert u met de rechtermuisknop het aangepaste groepsbeleidsobject en kiest u Bewerken...:
De Editor voor groepsbeleidsbeheer wordt geopend, zodat u het groepsbeleidsobject kunt aanpassen:

Wanneer u klaar bent, kiest u Bestand > Opslaan om het beleid op te slaan. Computers vernieuwen groepsbeleid standaard elke 90 minuten en pas de wijzigingen toe die u hebt aangebracht.