在 Microsoft Entra 域服务托管域中管理组策略

操作说明
10/23/2023

Microsoft Entra 域服务中的用户和计算机对象的设置通常使用组策略对象（GPO）进行管理。域服务包括 AADDC 用户 和 AADDC 计算机 容器的内置 GPO。可以自定义这些内置 GPO，以便根据需要为环境配置组策略。 AAD DC 管理员 组的成员在域服务域中具有组策略管理权限，还可以创建自定义 GPO 和组织单位（OU）。有关组策略是什么及其工作原理的详细信息，请参阅组策略概述。

在混合环境中，在本地 AD DS 环境中配置的组策略不会同步到域服务。若要为域服务中的用户或计算机定义配置设置，请编辑其中一个默认 GPO 或创建自定义 GPO。

本文介绍如何安装组策略管理工具，然后编辑内置 GPO 并创建自定义 GPO。建议在对 GPO 进行任何更改后备份 GPO。有关如何备份和还原 GPO 的详细信息，请参阅备份、还原、迁移和复制组策略对象。

如果对服务器管理策略感兴趣，包括 Azure 中的计算机和混合连接，请考虑阅读有关 Azure Policy的来宾配置功能。

先决条件

若要完成本文，需要以下资源和权限：

有效的 Azure 订阅。
- 如果没有 Azure 订阅，创建帐户。
与订阅关联的Microsoft Entra 租户，与本地目录或仅限云的目录同步。
- 如果需要，创建Microsoft Entra 租户或将 Azure 订阅与帐户关联。
在 Microsoft Entra 租户中启用和配置Microsoft Entra 域服务托管域。
- 如果需要，请完成本教程以创建和配置 Microsoft Entra Domain Services 托管域。
已加入域服务托管域的 Windows Server 管理 VM。
- 如果需要，请完成本教程以创建 Windows Server VM 并将其加入托管域。
用户帐户是 Microsoft Entra 租户中 AAD DC 管理员 组的成员。

注意

可以通过将新模板复制到管理工作站来使用组策略管理模板。将 .admx 文件复制到 %SYSTEMROOT%\PolicyDefinitions，并将特定于区域设置的 .adml 文件复制到 %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion]，其中 Language-CountryRegion 与 .adml 文件的语言和区域匹配。

例如，将 .adml 文件的英语、美国版本复制到 \en-us 文件夹中。

安装组策略管理工具

若要创建和配置组策略对象（GPO），需要安装组策略管理工具。这些工具可以作为 Windows Server 中的一项功能进行安装。有关如何在 Windows 客户端上安装管理工具的详细信息，请参阅安装远程服务器管理工具（RSAT）。

登录到管理 VM。有关如何使用 Microsoft Entra 管理中心进行连接的步骤，请参阅连接到 Windows Server VM。
服务器管理器 登录 VM 时，默认情况下应打开。否则，在 “开始”菜单上，选择 服务器管理器。
在 服务器管理器 窗口的 仪表板 窗格中，选择 添加角色和功能。
在 添加角色和功能向导开始之前 页上，选择下一。
对于 安装类型，请选中 基于角色或基于功能的安装 选项，然后选择“下一步”。
在 服务器选择 页上，从服务器池中选择当前 VM，例如 myvm.aaddscontoso.com，然后选择下一。
在 服务器角色 页上，单击下一。
在功能页上，选择 组策略管理 功能。
在确认页上，选择安装。安装组策略管理工具可能需要一两分钟。
功能安装完成后，选择关闭退出 添加角色和功能 向导。

打开组策略管理控制台并编辑对象

托管域中的用户和计算机存在默认组策略对象（GPO）。在上一部分安装的组策略管理功能后，让我们查看和编辑现有的 GPO。在下一部分中，将创建自定义 GPO。

注意

若要管理托管域中的组策略，必须登录到属于 AAD DC 管理员 组成员的用户帐户。

从“开始”屏幕中，选择 管理工具。将显示可用管理工具的列表，包括上一部分中安装的 组策略管理。
若要打开组策略管理控制台（GPMC），请选择 组策略管理。

托管域中有两个内置组策略对象（GPO），一个用于 AADDC 计算机 容器，一个用于 AADDC 用户 容器。可以自定义这些 GPO，以便根据需要在托管域中配置组策略。

在 组策略管理 控制台中，展开 林：aaddscontoso.com节点。接下来，展开域节点。

AADDC 计算机 和 AADDC 用户存在两个内置容器。其中每个容器都应用了一个默认 GPO。
可以自定义这些内置 GPO，以在托管域上配置特定的组策略。右键单击其中一个 GPO，例如 AADDC 计算机 GPO，然后选择 编辑...。

的选项
此时会打开组策略管理编辑器工具以自定义 GPO，例如 帐户策略：

完成后，选择 文件 > 保存 以保存策略。默认情况下，计算机每 90 分钟刷新一次组策略，并应用所做的更改。

创建自定义组策略对象

若要对类似的策略设置进行分组，通常创建其他 GPO，而不是在单个默认 GPO 中应用所有必需的设置。使用域服务，可以创建或导入自己的自定义组策略对象并将其链接到自定义 OU。如果需要先创建自定义 OU，请参阅在托管域中创建自定义 OU。

在 组策略管理 控制台中，选择自定义组织单位（OU），例如 MyCustomOU。右键单击 OU 并选择 在此域中创建 GPO，并在此处链接...：

创建自定义 GPO
指定新 GPO 的名称，例如“我的自定义 GPO”，然后选择“确定”。可以选择将此自定义 GPO 基于现有 GPO 和策略选项集。

指定名称
创建自定义 GPO 并将其链接到自定义 OU。若要现在配置策略设置，请右键单击自定义 GPO，然后选择 编辑...：

的选项
此时会打开 组策略管理编辑器，以便自定义 GPO：

完成后，选择 文件 > 保存 以保存策略。默认情况下，计算机每 90 分钟刷新一次组策略，并应用所做的更改。