在 Microsoft Entra Domain Services 受控網域中管理組策略

操作方式
10/19/2023

Microsoft Entra Domain Services 中使用者和計算機對象的設定通常會使用組策略物件（GPO）進行管理。 Domain Services 包含適用於 AADDC 使用者 和 AADDC 電腦 容器的內建 GPO。您可以自定義這些內建 GPO，以視需要為您的環境設定組策略。 AAD DC 系統管理員 群組的成員在 Domain Services 網域中具有組策略管理許可權，也可以建立自定義 GPO 和組織單位（OU）。如需組策略為何及其運作方式的詳細資訊，請參閱組策略概觀。

在混合式環境中，在內部部署 AD DS 環境中設定的組策略不會同步處理至 Domain Services。若要在 Domain Services 中定義使用者或電腦的組態設定，請編輯其中一個預設 GPO 或建立自定義 GPO。

本文說明如何安裝組策略管理工具，然後編輯內建 GPO 並建立自定義 GPO。建議您在對 GPO 進行任何變更之後備份 GPO。如需如何備份和還原 GPO 的詳細資訊，請參閱備份、還原、移轉和複製組策略物件。

如果您對伺服器管理策略感興趣，包括 Azure 中的機器和混合式連線，請考慮閱讀 azure 原則的客體設定功能。

必要條件

若要完成本文，您需要下列資源和許可權：

作用中的 Azure 訂用帳戶。
- 如果您沒有 Azure 訂用帳戶，建立帳戶。
與訂用帳戶相關聯的Microsoft Entra 租使用者，會與內部部署目錄或僅限雲端目錄同步。
- 如有需要，建立 Microsoft Entra 租使用者或將 Azure 訂用帳戶與您的帳戶建立關聯。
在您的 Microsoft Entra 租用戶中啟用並設定Microsoft Entra Domain Services 受控網域。
- 如有需要，請完成建立及設定 Microsoft Entra Domain Services 受控網域的教學課程，。
已加入 Domain Services 受控網域的 Windows Server 管理 VM。
- 如有需要，請完成教學課程以建立 Windows Server VM，並將它加入受控網域。
用戶帳戶，屬於您 Microsoft Entra 租使用者中 AAD DC Administrators 群組的成員。

注意

您可以將新的範本複製到管理工作站，以使用組策略系統管理範本。將 .admx 檔案複製到 %SYSTEMROOT%\PolicyDefinitions，並將地區設定特定的 .adml 檔案複製到 %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion]，其中 Language-CountryRegion 符合 .adml 檔案的語言和區域。

例如，將 .adml 檔案的英文、美國版本複製到 \en-us 資料夾中。

安裝組策略管理工具

若要建立及設定組策略物件（GPO），您需要安裝組策略管理工具。這些工具可以安裝為 Windows Server 中的功能。如需如何在 Windows 用戶端上安裝管理工具的詳細資訊，請參閱安裝遠端伺服器管理工具（RSAT）。

登入您的管理 VM。如需如何使用 Microsoft Entra 系統管理中心進行連線的步驟，請參閱連線到 Windows Server VM。
當您登入 VM 時，伺服器管理員 預設應該開啟。如果沒有，請在 [[開始] 功能表上，選取 [伺服器管理員]。
在 [伺服器管理員] 視窗的 [儀錶板] 窗格中，選取 [新增角色和功能]。
在 [新增角色與功能精靈]的 [開始之前] 頁面上，選取 [下一步]。
針對 [安裝類型]，請選取 [角色型或功能型安裝] 選項，然後選取 [下一步]。
在 [伺服器選取] 頁面上，從伺服器集區選擇目前的 VM，例如 [myvm.aaddscontoso.com]，然後選取 [下一步]。
在 [伺服器角色] 頁面上，按兩下 [下一步]。
在 [功能] 頁面上，選取 組策略管理 功能。
在 [確認] 頁面上，選取 [[安裝]。安裝組策略管理工具可能需要一兩分鐘的時間。
當功能安裝完成時，請選取 [關閉]，以結束 [新增角色和功能] 精靈。

開啟組策略管理主控台並編輯物件

受控網域中的用戶和計算機存在預設組策略物件（GPO）。從上一節安裝組策略管理功能后，讓我們來檢視和編輯現有的 GPO。在下一節中，您會建立自定義 GPO。

注意

若要在受控網域中管理組策略，您必須登入屬於 AAD DC Administrators 群組成員的用戶帳戶。

從 [開始] 畫面，選取 [系統管理工具] 。顯示可用的管理工具清單，包括上一節中安裝的 組策略管理。
若要開啟組策略管理主控台（GPMC），請選擇 組策略管理。

受控網域中有兩個內建組策略物件（GPO），一個用於 AADDC 計算機 容器，另一個用於 AADDC Users 容器。您可以自定義這些 GPO，以視需要在受控網域內設定組策略。

在 [組策略管理] 控制台中，展開 [樹系：aaddscontoso.com] 節點。接下來，展開網域節點。

AADDC 電腦 和 AADDC 使用者有兩個內建容器。每個容器都會套用預設 GPO。
您可以自定義這些內建 GPO，在您的受控網域上設定特定的組策略。以滑鼠右鍵按兩下其中一個 GPO，例如 AADDC 電腦 GPO，然後選擇 [編輯] ...。
組策略管理編輯器工具隨即開啟，可讓您自定義 GPO，例如 帳戶原則：

完成時，選擇 [檔案] > [儲存] 來儲存原則。計算機預設會每隔 90 分鐘重新整理組策略，並套用您所做的變更。

建立自定義組策略物件

若要將類似的原則設定分組，您通常會建立其他 GPO，而不是套用單一預設 GPO 中的所有必要設定。使用 Domain Services，您可以建立或匯入自己的自定義組策略物件，並將其連結至自定義 OU。如果您需要先建立自訂 OU，請參閱在受控網域中建立自訂 OU。

在 [組策略管理] 控制台中，選取您的自定義組織單位（OU），例如 MyCustomOU。以滑鼠右鍵按兩下 OU，然後選擇 在此網域中建立 GPO，然後在這裡連結...：
指定新 GPO 的名稱，例如 [我的自定義 GPO]，然後選取 [確定] [確定]。您可以選擇性地根據現有的 GPO 和一組原則選項來建置此自定義 GPO。
自定義 GPO 會建立並連結至您的自訂 OU。若要立即設定原則設定，請以滑鼠右鍵按兩下自定義 GPO，然後選擇 [編輯 ...：
組策略管理編輯器 隨即開啟，讓您自定義 GPO：

完成時，選擇 [檔案] > [儲存] 來儲存原則。計算機預設會每隔 90 分鐘重新整理組策略，並套用您所做的變更。