Administrar a Política de Grupo num domínio gerido pelos Serviços de Domínio Microsoft Entra

Procedimentos
10/19/2023

As configurações para objetos de usuário e computador nos Serviços de Domínio do Microsoft Entra geralmente são gerenciadas usando GPOs (Objetos de Política de Grupo). Os Serviços de Domínio incluem GPOs internos para os Usuários AADDC e Computadores AADDC contêineres. Você pode personalizar esses GPOs internos para configurar a Diretiva de Grupo conforme necessário para seu ambiente. Os membros do grupo Administradores de DC do AAD têm privilégios de administração de Diretiva de Grupo no domínio Serviços de Domínio e também podem criar GPOs e unidades organizacionais (OUs) personalizadas. Para obter mais informações sobre o que é a Diretiva de Grupo e como ela funciona, consulte Visão geral da Diretiva de Grupo.

Em um ambiente híbrido, as políticas de grupo configuradas em um ambiente AD DS local não são sincronizadas com os Serviços de Domínio. Para definir definições de configuração para usuários ou computadores nos Serviços de Domínio, edite um dos GPOs padrão ou crie um GPO personalizado.

Este artigo mostra como instalar as ferramentas de Gerenciamento de Diretiva de Grupo e, em seguida, editar os GPOs internos e criar GPOs personalizados. Recomendamos que você faça backup de GPOs depois de fazer alterações neles. Para obter mais informações sobre como fazer backup e restaurar GPOs, consulte Backup, restaurar, migrar e copiar Objetos de Diretiva de Grupo.

Se você estiver interessado na estratégia de gerenciamento de servidor, incluindo máquinas no Azure e conectado híbrido, considere ler sobre o recurso de de configuração de convidado do Azure Policy.

Pré-requisitos

Para concluir este artigo, você precisa dos seguintes recursos e privilégios:

Uma assinatura ativa do Azure.
- Se você não tiver uma assinatura do Azure, crie uma conta.
Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
- Se necessário, criar um de locatário do Microsoft Entra ou associar uma assinatura do Azure à sua conta.
Um domínio gerenciado dos Serviços de Domínio Microsoft Entra habilitado e configurado em seu locatário do Microsoft Entra.
- Se necessário, conclua o tutorial para criar e configurar um domínio gerenciado dos Serviços de Domínio Microsoft Entra.
Uma VM de gerenciamento do Windows Server que ingressou no domínio gerenciado dos Serviços de Domínio.
- Se necessário, conclua o tutorial para criar uma VM do Windows Server e associá-la a um domínio gerenciado.
Uma conta de usuário que seja membro do grupo Administradores de DC do AAD em seu locatário do Microsoft Entra.

Observação

Você pode usar os Modelos Administrativos de Diretiva de Grupo copiando os novos modelos para a estação de trabalho de gerenciamento. Copie os arquivos de .admx para o %SYSTEMROOT%\PolicyDefinitions e copie os arquivos de .adml específicos da localidade para %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], onde Language-CountryRegion corresponde ao idioma e à região dos arquivos de .adml.

Por exemplo, copie a versão em inglês e Estados Unidos dos arquivos .adml do para a pasta \en-us.

Instalar ferramentas de Gerenciamento de Política de Grupo

Para criar e configurar GPOs (Objeto de Diretiva de Grupo), você precisa instalar as ferramentas de Gerenciamento de Diretiva de Grupo. Essas ferramentas podem ser instaladas como um recurso no Windows Server. Para obter mais informações sobre como instalar as ferramentas administrativas em um cliente Windows, consulte Instalar Ferramentas de Administração de Servidor Remoto (RSAT).

Inicie sessão na sua VM de gestão. Para obter etapas sobre como se conectar usando o centro de administração do Microsoft Entra, consulte Conectar-se a uma VM do Windows Server.
do Gerenciador do Servidor deve ser aberto por padrão quando você entra na VM. Caso contrário, no menu Iniciar, selecione Gerenciador do Servidor.
No painel Painel do da janela do Server Manager, selecione Adicionar Funções e Recursos.
Na página Antes de Começar do Assistente para Adicionar Funções e Recursos , selecione Avançar.
Para o Tipo de Instalação, deixe a opção Instalação baseada em função ou recurso marcada e selecione Avançar.
Na página Seleção do Servidor, escolha a VM atual no pool de servidores, como myvm.aaddscontoso.come, em seguida, selecione Avançar.
Na página Funções de Servidor, clique em Avançar.
Na página Recursos do, selecione o recurso Gerenciamento de Diretiva de Grupo.
Na página de Confirmação, selecione Instalar. Pode levar um ou dois minutos para instalar as ferramentas de Gerenciamento de Diretiva de Grupo.
Quando a instalação do recurso estiver concluída, selecione Fechar para sair do assistente Adicionar funções e recursos.

Abra o Console de Gerenciamento de Diretiva de Grupo e edite um objeto

Existem objetos de política de grupo (GPOs) padrão para usuários e computadores em um domínio gerenciado. Com o recurso Gerenciamento de Diretiva de Grupo instalado na seção anterior, vamos exibir e editar um GPO existente. Na próxima seção, você cria um GPO personalizado.

Observação

Para administrar a Diretiva de Grupo em um domínio gerenciado, você deve estar conectado a uma conta de usuário que seja membro do grupo Administradores de DC do AAD.

Na tela inicial, selecione Ferramentas administrativas. É apresentada uma lista de ferramentas de gestão disponíveis, incluindo de Gestão de Políticas de Grupo instalada na secção anterior.
Para abrir o GPMC (Console de Gerenciamento de Política de Grupo), escolha Gerenciamento de Diretiva de Grupo .

Há dois GPOs (Objetos de Diretiva de Grupo) internos em um domínio gerenciado - um para o contêiner Computadores AADDC e outro para o contêiner Usuários AADDC. Você pode personalizar esses GPOs para configurar a política de grupo conforme necessário em seu domínio gerenciado.

No console do Gerenciamento de Diretiva de Grupo, expanda o nó Floresta de : aaddscontoso.com. Em seguida, expanda os nós Domínios.

Existem dois contêineres internos para computadores AADDC e usuários AADDC. Cada um desses contêineres tem um GPO padrão aplicado a eles.
Esses GPOs internos podem ser personalizados para configurar políticas de grupo específicas em seu domínio gerenciado. Selecione com o botão direito do mouse um dos GPOs, como GPO de Computadores AADDCe, em seguida, escolha Editar....
A ferramenta Editor de Gerenciamento de Diretiva de Grupo é aberta para permitir que você personalize o GPO, como Políticas de Conta:

Quando terminar, escolha Arquivo > Salvar para salvar a política. Os computadores atualizam a Diretiva de Grupo por padrão a cada 90 minutos e aplicam as alterações feitas.

Criar um objeto de diretiva de grupo personalizado

Para agrupar configurações de diretiva semelhantes, você geralmente cria GPOs adicionais em vez de aplicar todas as configurações necessárias no único GPO padrão. Com os Serviços de Domínio, você pode criar ou importar seus próprios objetos de política de grupo personalizados e vinculá-los a uma UO personalizada. Se você precisar primeiro criar uma UO personalizada, consulte criar uma UO personalizada em um domínio gerenciado.

No console do Gerenciamento de Diretiva de Grupo, selecione sua unidade organizacional (UO) personalizada, como MyCustomOU. Selecione com o botão direito do mouse a UO e escolha Criar um GPO neste domínio e vinculá-lo aqui...:
Especifique um nome para o novo GPO, como Meu GPO personalizadoe, em seguida, selecione OK. Opcionalmente, você pode basear esse GPO personalizado em um GPO existente e em um conjunto de opções de política.

de GPO personalizada
O GPO personalizado é criado e vinculado à sua UO personalizada. Para definir agora as configurações de política, selecione com o botão direito do mouse o GPO personalizado e escolha Editar...:
O Editor de Gerenciamento de Diretiva de Grupo é aberto para permitir que você personalize o GPO:

Quando terminar, escolha Arquivo > Salvar para salvar a política. Os computadores atualizam a Diretiva de Grupo por padrão a cada 90 minutos e aplicam as alterações feitas.