Administrera grupprincip i en hanterad Domän för Microsoft Entra

Så här gör du
10/19/2023

Inställningar för användar- och datorobjekt i Microsoft Entra Domain Services hanteras ofta med grupprincipobjekt (GPO). Domain Services innehåller inbyggda grupprincipobjekt för AADDC-användare och AADDC-datorer containrar. Du kan anpassa dessa inbyggda grupprincipobjekt för att konfigurera grupprincip efter behov för din miljö. Medlemmar i AAD DC-administratörer grupp har administratörsbehörigheter för grupprinciper i Domäntjänster-domänen och kan även skapa anpassade grupprincipobjekt och organisationsenheter (OUs). Mer information om vad grupprincip är och hur den fungerar finns i grupprincipöversikt.

I en hybridmiljö synkroniseras inte grupprinciper som konfigurerats i en lokal AD DS-miljö till Domain Services. Om du vill definiera konfigurationsinställningar för användare eller datorer i Domain Services redigerar du någon av standardprincipobjekten eller skapar ett anpassat grupprincipobjekt.

Den här artikeln visar hur du installerar grupprinciphanteringsverktygen, redigerar sedan de inbyggda grupprincipobjekten och skapar anpassade grupprincipobjekt. Vi rekommenderar att du säkerhetskopierar grupprincipobjekt när du har ändrat dem. Mer information om hur du säkerhetskopierar och återställer grupprincipobjekt finns i Säkerhetskopiering, återställning, migrering och kopiering av grupprincipobjekt.

Om du är intresserad av serverhanteringsstrategi, inklusive datorer i Azure och hybridanslutnakan du läsa mer om gästkonfiguration funktion i Azure Policy.

Förutsättningar

För att slutföra den här artikeln behöver du följande resurser och behörigheter:

En aktiv Azure-prenumeration.
- Om du inte har en Azure-prenumeration skapa ett konto.
En Microsoft Entra-klient som är associerad med din prenumeration, antingen synkroniserad med en lokal katalog eller en katalog som endast är molnbaserad.
- Om det behövs skapa en Microsoft Entra-klientorganisation eller associera en Azure-prenumeration med ditt konto.
En hanterad domän i Microsoft Entra Domain Services har aktiverats och konfigurerats i din Microsoft Entra-klientorganisation.
- Om det behövs slutför du självstudien för att skapa och konfigurera en hanterad Domänför Microsoft Entra Domain Services.
En virtuell Windows Server-hanteringsdator som är ansluten till den hanterade domänen Domain Services.
- Om det behövs slutför du självstudien för att skapa en virtuell Windows Server-dator och ansluta den till en hanterad domän.
Ett användarkonto som är medlem i AAD DC-administratörer grupp i din Microsoft Entra-klientorganisation.

Not

Du kan använda administrativa grupprincipmallar genom att kopiera de nya mallarna till hanteringsarbetsstationen. Kopiera .admx--filer till %SYSTEMROOT%\PolicyDefinitions och kopiera de språkspecifika .adml--filerna till %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], där Language-CountryRegion matchar språket och regionen för .adml- filer.

Kopiera till exempel den engelska, amerikanska versionen av .adml--filer till mappen \en-us.

Installera grupprinciphanteringsverktyg

Om du vill skapa och konfigurera grupprincipobjekt måste du installera grupprinciphanteringsverktygen. Dessa verktyg kan installeras som en funktion i Windows Server. Mer information om hur du installerar de administrativa verktygen på en Windows-klient finns i installera RSAT (Remote Server Administration Tools).

Logga in på den virtuella hanteringsdatorn. Anvisningar om hur du ansluter med administrationscentret för Microsoft Entra finns i Anslut till en virtuell Windows Server-dator.
Serverhanteraren bör öppnas som standard när du loggar in på den virtuella datorn. Annars väljer du Serverhanterarenpå menyn Starta .
I fönstret Instrumentpanel i fönstret Serverhanteraren väljer du Lägg till roller och funktioner.
På sidan Innan du börjar i guiden Lägg till roller och funktionerväljer du Nästa.
För installationstyplåter du alternativet rollbaserad eller funktionsbaserad installation vara markerat och välja Nästa.
På sidan Serverval väljer du den aktuella virtuella datorn från serverpoolen, till exempel myvm.aaddscontoso.comoch väljer sedan Nästa.
På sidan serverroller klickar du på Nästa.
På sidan Funktioner väljer du funktionen Grupprinciphantering.
På sidan bekräftelse väljer du Installera. Det kan ta en minut eller två att installera grupprinciphanteringsverktygen.
När funktionsinstallationen är klar väljer du Stäng för att avsluta guiden Lägg till roller och funktioner.

Öppna konsolen Grupprinciphantering och redigera ett objekt

Standardobjekt för grupprincipobjekt finns för användare och datorer i en hanterad domän. Med funktionen Grupprinciphantering installerad från föregående avsnitt ska vi visa och redigera ett befintligt grupprincipobjekt. I nästa avsnitt skapar du ett anpassat grupprincipobjekt.

Not

Om du vill administrera en grupprincip i en hanterad domän måste du vara inloggad på ett användarkonto som är medlem i AAD DC-administratörer grupp.

På startskärmen väljer du Administrationsverktyg. En lista över tillgängliga hanteringsverktyg visas, inklusive grupprinciphantering installerade i föregående avsnitt.
Om du vill öppna konsolen Grupprinciphantering (GPMC) väljer du Grupprinciphantering.

Det finns två inbyggda grupprincipobjekt (GPO: er) i en hanterad domän – en för AADDC-datorer container och en för AADDC-användare container. Du kan anpassa dessa grupprincipobjekt för att konfigurera grupprincipen efter behov i din hanterade domän.

I konsolen Grupprinciphantering expanderar du noden Forest: aaddscontoso.com. Expandera sedan Domäner noder.

Det finns två inbyggda containrar för AADDC-datorer och AADDC-användare. Var och en av dessa containrar har ett standard-GPO som tillämpas på dem.
Dessa inbyggda grupprincipobjekt kan anpassas för att konfigurera specifika grupprinciper på din hanterade domän. Högerklicka på en av grupprincipobjekten, till exempel grupprincipobjektet för AADDC-datoreroch välj sedan Redigera....
Verktyget Redigeraren för grupprinciphantering öppnas så att du kan anpassa grupprincipobjektet, till exempel kontoprinciper:

När du är klar väljer du Fil > Spara för att spara principen. Datorer uppdaterar grupprincipen som standard var 90:e minut och tillämpar de ändringar du har gjort.

Skapa ett anpassat grupprincipobjekt

Om du vill gruppera liknande principinställningar skapar du ofta ytterligare grupprincipobjekt i stället för att tillämpa alla nödvändiga inställningar i det enda standard-grupprincipobjektet. Med Domain Services kan du skapa eller importera egna anpassade grupprincipobjekt och länka dem till en anpassad organisationsenhet. Om du först behöver skapa en anpassad organisationsenhet kan du läsa skapa en anpassad organisationsenhet i en hanterad domän.

I konsolen Grupprinciphantering väljer du din anpassade organisationsenhet (OU), till exempel MyCustomOU. Högerklicka på organisationsenheten och välj Skapa ett grupprincipobjekt i den här domänen och Länka det här...:
Ange ett namn för det nya grupprincipobjektet, till exempel Min anpassade grupprincipobjektoch välj sedan OK. Du kan också basera det här anpassade grupprincipobjektet på ett befintligt grupprincipobjekt och en uppsättning principalternativ.
Det anpassade grupprincipobjektet skapas och länkas till din anpassade organisationsenhet. Om du vill konfigurera principinställningarna högerklickar du på det anpassade grupprincipobjektet och väljer Redigera...:
Redigeraren grupprinciphantering öppnas så att du kan anpassa grupprincipobjektet:

När du är klar väljer du Fil > Spara för att spara principen. Datorer uppdaterar grupprincipen som standard var 90:e minut och tillämpar de ändringar du har gjort.