Microsoft Entra 域服务中的用户和计算机对象的设置通常使用组策略对象 (GPO) 来管理。 域服务包括 AADDC 用户和 AADDC 计算机容器的内置 GPO。 可以自定义这些内置 GPO,以根据环境的需要配置组策略。 “AAD DC 管理员”组的成员在域服务域中具有组策略管理特权,还可以创建自定义 GPO 和组织单位 (OU)。 要详细了解组策略的定义及其工作原理,请参阅组策略概述。
在混合环境中,本地 AD DS 环境中配置的组策略不会同步到域服务。 若要为域服务中的用户或计算机定义配置设置,请编辑其中一个默认 GPO 或创建一个自定义 GPO。
本文介绍如何安装组策略管理工具,然后编辑内置 GPO 并创建自定义 GPO。
如果对服务器管理策略(包括 Azure 中和混合连接的虚拟机)感兴趣,请考虑阅读 Azure Policy 的来宾配置功能。