Administracja zasady grupy w domenie zarządzanej usług Microsoft Entra Domain Services

Porady
10/19/2023

Ustawienia obiektów użytkowników i komputerów w usługach Microsoft Entra Domain Services są często zarządzane przy użyciu obiektów zasad grupy (GPO). Usługi Domain Services obejmują wbudowane obiekty zasad grupy dla kontenerów AADDC Users i AADDC Computers . Możesz dostosować te wbudowane obiekty zasad grupy, aby skonfigurować zasady grupy zgodnie z wymaganiami swojego środowiska. Członkowie grupy kontrolerów domeny usługi AAD Administracja istrators mają uprawnienia administracyjne zasad grupy w domenie usług domenowych, a także mogą tworzyć niestandardowe obiekty zasad grupy i jednostki organizacyjne (OU). Aby uzyskać więcej informacji na temat zasad grupy i sposobu jej działania, zobacz Omówienie zasad grupy.

W środowisku hybrydowym zasady grupy skonfigurowane w lokalnym środowisku usług AD DS nie są synchronizowane z usługami Domain Services. Aby zdefiniować ustawienia konfiguracji dla użytkowników lub komputerów w usługach domenowych, edytuj jeden z domyślnych obiektów zasad grupy lub utwórz niestandardowy obiekt zasad grupy.

W tym artykule przedstawiono sposób instalowania narzędzi do zarządzania zasadami grupy, a następnie edytowania wbudowanych obiektów zasad grupy i tworzenia niestandardowych obiektów zasad grupy.

Jeśli interesuje Cię strategia zarządzania serwerem, w tym maszyny na platformie Azure i połączenie hybrydowe, rozważ zapoznanie się z funkcją konfiguracji gościa usługi Azure Policy.

Wymagania wstępne

Do ukończenia tego artykułu potrzebne są następujące zasoby i uprawnienia:

Aktywna subskrypcja platformy Azure.
- Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
Dzierżawa firmy Microsoft Entra skojarzona z twoją subskrypcją, zsynchronizowana z katalogiem lokalnym lub katalogiem tylko w chmurze.
- W razie potrzeby utwórz dzierżawę firmy Microsoft Entra lub skojarz subskrypcję platformy Azure z twoim kontem.
Domena zarządzana usług Microsoft Entra Domain Services jest włączona i skonfigurowana w dzierżawie firmy Microsoft Entra.
- W razie potrzeby ukończ samouczek, aby utworzyć i skonfigurować domenę zarządzaną usług Microsoft Entra Domain Services.
Maszyna wirtualna zarządzania systemem Windows Server przyłączona do domeny zarządzanej usług domenowych.
- W razie potrzeby ukończ samouczek, aby utworzyć maszynę wirtualną z systemem Windows Server i dołączyć ją do domeny zarządzanej.
Konto użytkownika, które jest członkiem grupy Administracja istratorów kontrolera domeny usługi AAD w dzierżawie usługi Microsoft Entra.

Uwaga

Można użyć zasad grupy Administracja szablony administracyjne, kopiując nowe szablony na stację roboczą zarządzania. Skopiuj pliki admx do %SYSTEMROOT%\PolicyDefinitions pliku i skopiuj pliki adml specyficzne dla ustawień regionalnych do %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], gdzie Language-CountryRegion są zgodne z językiem i regionem plików adml.

Na przykład skopiuj język angielski, Stany Zjednoczone wersję plików adml do \en-us folderu .

Instalowanie narzędzi do zarządzania zasadami grupy

Aby utworzyć i skonfigurować obiekt zasad grupy (GPO), należy zainstalować narzędzia do zarządzania zasadami grupy. Te narzędzia można zainstalować jako funkcję w systemie Windows Server. Aby uzyskać więcej informacji na temat sposobu instalowania narzędzi administracyjnych na kliencie systemu Windows, zobacz Install Remote Server Administracja istration Tools (RSAT).

Zaloguj się do maszyny wirtualnej zarządzania. Aby uzyskać instrukcje dotyczące nawiązywania połączenia przy użyciu centrum administracyjnego firmy Microsoft Entra, zobacz Połączenie z maszyną wirtualną z systemem Windows Server.
Menedżer serwera powinno być domyślnie otwarte po zalogowaniu się do maszyny wirtualnej. Jeśli nie, w menu Start wybierz pozycję Menedżer serwera.
W okienku Pulpit nawigacyjny okna Menedżer serwera wybierz pozycję Dodaj role i funkcje.
Na stronie Przed rozpoczęciem Kreatora dodawania ról i funkcji wybierz pozycję Dalej.
W polu Typ instalacji pozostaw zaznaczoną opcję Instalacja oparta na rolach lub oparta na funkcjach, a następnie wybierz przycisk Dalej.
Na stronie Wybór serwera wybierz bieżącą maszynę wirtualną z puli serwerów, na przykład myvm.aaddscontoso.com, a następnie wybierz przycisk Dalej.
Na stronie Role serwera kliknij przycisk Dalej.
Na stronie Funkcje wybierz funkcję Zarządzanie zasadami grupy.
Na stronie Potwierdzenie wybierz pozycję Zainstaluj. Zainstalowanie narzędzi do zarządzania zasadami grupy może potrwać minutę lub dwie.
Po zakończeniu instalacji funkcji wybierz pozycję Zamknij, aby zamknąć kreatora Dodawanie ról i funkcji.

Otwórz konsolę zarządzania zasadami grupy i edytuj obiekt

Domyślne obiekty zasad grupy (GPO) istnieją dla użytkowników i komputerów w domenie zarządzanej. Po zainstalowaniu funkcji zarządzania zasadami grupy z poprzedniej sekcji wyświetlmy i zmodyfikujmy istniejący obiekt zasad grupy. W następnej sekcji utworzysz niestandardowy obiekt zasad grupy.

Uwaga

Aby administrować zasadami grupy w domenie zarządzanej, musisz zalogować się do konta użytkownika, które jest członkiem grupy usługi AAD DC Administracja istrators.

Na ekranie startowym wybierz pozycję narzędzia Administracja istrative Tools. Zostanie wyświetlona lista dostępnych narzędzi do zarządzania, w tym zarządzanie zasadami grupy zainstalowanymi w poprzedniej sekcji.
Aby otworzyć konsolę zarządzania zasadami grupy (GPMC), wybierz pozycję Zarządzanie zasadami grupy.

Istnieją dwa wbudowane obiekty zasad grupy (GPO) w domenie zarządzanej — jeden dla kontenera AADDC Computers i jeden dla kontenera AADDC Users . Możesz dostosować te obiekty zasad grupy, aby skonfigurować zasady grupy zgodnie z potrzebami w domenie zarządzanej.

W konsoli zarządzania zasadami grupy rozwiń węzeł Las: aaddscontoso.com. Następnie rozwiń węzły Domeny .

Istnieją dwa wbudowane kontenery dla komputerów AADDC i użytkowników AADDC. Każdy z tych kontenerów ma do nich domyślny obiekt zasad grupy.
Te wbudowane obiekty zasad grupy można dostosować, aby skonfigurować określone zasady grupy w domenie zarządzanej. Wybierz prawym przyciskiem jedną z obiektów zasad grupy, na przykład AADDC Komputery obiektu zasad grupy, a następnie wybierz polecenie Edytuj....
Zostanie otwarte narzędzie Edytor zarządzania zasadami grupy, aby umożliwić dostosowanie obiektu zasad grupy, takich jak zasady konta:

Po zakończeniu wybierz pozycję Plik > Zapisz , aby zapisać zasady. Komputery domyślnie odświeżają zasady grupy co 90 minut i stosują wprowadzone zmiany.

Tworzenie niestandardowego obiektu zasad grupy

Aby pogrupować podobne ustawienia zasad, często zamiast stosować wszystkie wymagane ustawienia w jednym domyślnym obiekcie zasad grupy, często są tworzone dodatkowe obiekty zasad grupy. Za pomocą usług Domain Services można utworzyć lub zaimportować własne niestandardowe obiekty zasad grupy i połączyć je z niestandardową jednostki organizacyjnej. Jeśli musisz najpierw utworzyć niestandardową jednostkę organizacyjną, zobacz tworzenie niestandardowej jednostki organizacyjnej w domenie zarządzanej.

W konsoli zarządzania zasadami grupy wybierz niestandardową jednostkę organizacyjną (OU), taką jak MyCustomOU. Wybierz prawym przyciskiem jednostki organizacyjnej i wybierz polecenie Utwórz obiekt zasad grupy w tej domenie, a następnie połącz go tutaj...:
Określ nazwę nowego obiektu zasad grupy, na przykład Mój niestandardowy obiekt zasad grupy, a następnie wybierz przycisk OK. Opcjonalnie można opierać ten niestandardowy obiekt zasad grupy na istniejącym obiekcie zasad grupy i zestaw opcji zasad.
Niestandardowy obiekt zasad grupy jest tworzony i połączony z niestandardową jednostką organizacyjną. Aby teraz skonfigurować ustawienia zasad, wybierz prawym przyciskiem pozycję niestandardowy obiekt zasad grupy, a następnie wybierz polecenie Edytuj...:
Zostanie otwarty Edytor zarządzania zasadami grupy, aby umożliwić dostosowanie obiektu zasad grupy:

Po zakończeniu wybierz pozycję Plik > Zapisz , aby zapisać zasady. Komputery domyślnie odświeżają zasady grupy co 90 minut i stosują wprowadzone zmiany.