Správa ister group policy in a Microsoft Entra Domain Services managed domain Services

Postupy
10/19/2023

Nastavení pro objekty uživatelů a počítačů ve službě Microsoft Entra Domain Services se často spravují pomocí objektů zásad skupiny (GPO). Domain Services obsahuje integrované objekty zásad skupiny pro kontejnery AADDC Users a AADDC Computers . Tyto integrované objekty zásad skupiny můžete přizpůsobit, aby nakonfigurovaly zásady skupiny podle potřeb vašeho prostředí. Členové skupiny AAD DC Správa istrators mají oprávnění ke správě zásad skupiny v doméně Domain Services a můžou také vytvářet vlastní objekty zásad skupiny a organizační jednotky (OU). Další informace o tom, co jsou zásady skupiny a jak fungují, najdete v přehledu zásad skupiny.

V hybridním prostředí se zásady skupiny nakonfigurované v místním prostředí SLUŽBY AD DS nesynchronují se službou Domain Services. Pokud chcete definovat nastavení konfigurace pro uživatele nebo počítače ve službě Domain Services, upravte jeden z výchozích objektů zásad skupiny nebo vytvořte vlastní objekt zásad skupiny.

V tomto článku se dozvíte, jak nainstalovat nástroje pro správu zásad skupiny a pak upravit předdefinované objekty zásad skupiny a vytvořit vlastní objekty zásad skupiny.

Pokud vás zajímá strategie správy serverů, včetně počítačů v Azure a hybridních připojení, zvažte čtení o funkci konfigurace hosta služby Azure Policy.

Požadavky

K dokončení tohoto článku potřebujete následující prostředky a oprávnění:

Aktivní předplatné Azure.
- Pokud nemáte předplatné Azure, vytvořte účet.
Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
- V případě potřeby vytvořte tenanta Microsoft Entra nebo přidružte předplatné Azure k vašemu účtu.
Spravovaná doména služby Microsoft Entra Domain Services je povolená a nakonfigurovaná ve vašem tenantovi Microsoft Entra.
- V případě potřeby dokončete kurz a vytvořte a nakonfigurujte spravovanou doménu služby Microsoft Entra Domain Services.
Virtuální počítač pro správu Windows Serveru, který je připojený ke spravované doméně Domain Services.
- V případě potřeby dokončete kurz a vytvořte virtuální počítač s Windows Serverem a připojte ho ke spravované doméně.
Uživatelský účet, který je členem skupiny AAD DC Správa istrators ve vašem tenantovi Microsoft Entra.

Poznámka:

Zásady skupiny můžete použít Správa istrativní šablony zkopírováním nových šablon do pracovní stanice pro správu. Zkopírujte soubory .admx do %SYSTEMROOT%\PolicyDefinitions souborů .admx a zkopírujte soubory .adml specifické pro národní prostředí do umístění, kde Language-CountryRegion%SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion]odpovídá jazyku a oblasti souborů .adml.

Zkopírujte například angličtinu, USA verzi souborů .adml do \en-us složky.

Instalace nástrojů pro správu zásad skupiny

K vytvoření a konfiguraci objektu zásad skupiny (GPO) je potřeba nainstalovat nástroje pro správu zásad skupiny. Tyto nástroje je možné nainstalovat jako funkci ve Windows Serveru. Další informace o tom, jak nainstalovat nástroje pro správu na klienta systému Windows, najdete v tématu instalace nástrojů vzdáleného serveru Správa istrace Nástrojů (RSAT).

Přihlaste se k virtuálnímu počítači pro správu. Postup připojení pomocí Centra pro správu Microsoft Entra najdete v tématu Připojení k virtuálnímu počítači s Windows Serverem.
Správce serveru by se měla ve výchozím nastavení otevřít při přihlášení k virtuálnímu počítači. Pokud ne, v nabídce Start vyberte Správce serveru.
V podokně řídicího panelu okna Správce serveru vyberte Přidat role a funkce.
Na stránce Před zahájenímprůvodce přidáním rolí a funkcí vyberte Další.
U typu instalace ponechte zaškrtnutou možnost instalace na základě role nebo funkce a vyberte Další.
Na stránce Výběr serveru zvolte aktuální virtuální počítač z fondu serverů, například myvm.aaddscontoso.com, a pak vyberte Další.
Na stránce Role serveru klikněte na Další.
Na stránce Funkce vyberte funkci Správa zásad skupiny.
Na stránce Potvrzení vyberte Nainstalovat. Instalace nástrojů pro správu zásad skupiny může trvat minutu nebo dvě.
Po dokončení instalace funkcí ukončete průvodce přidáním rolí a funkcí výběrem možnosti Zavřít.

Otevřete konzolu pro správu zásad skupiny a upravte objekt.

Výchozí objekty zásad skupiny existují pro uživatele a počítače ve spravované doméně. S nainstalovanou funkcí Správa zásad skupiny z předchozí části pojďme zobrazit a upravit existující objekt zásad skupiny. V další části vytvoříte vlastní objekt zásadU.

Poznámka:

Pokud chcete spravovat zásady skupiny ve spravované doméně, musíte být přihlášení k uživatelskému účtu, který je členem skupiny AAD DC Správa istrators.

Na obrazovce Start vyberte Správa istrativní nástroje. Zobrazí se seznam dostupných nástrojů pro správu, včetně správy zásad skupiny nainstalované v předchozí části.
Chcete-li otevřít konzolu pro správu zásad skupiny (GPMC), zvolte Správa zásad skupiny.

Ve spravované doméně existují dva předdefinované objekty zásad skupiny (GPO) – jeden pro kontejner Počítače AADDC a jeden pro kontejner Uživatelé AADDC. Tyto objekty zásad skupiny můžete přizpůsobit tak, aby v rámci spravované domény nakonfigurovali zásady skupiny podle potřeby.

V konzole pro správu zásad skupiny rozbalte doménovou strukturu: aaddscontoso.com uzel. Dále rozbalte uzly Domény .

Pro počítače AADDC a uživatele AADDC existují dva předdefinované kontejnery. Každý z těchto kontejnerů má výchozí objekt zásad skupiny.
Tyto předdefinované objekty zásad skupiny je možné přizpůsobit tak, aby na spravované doméně nakonfigurovaly konkrétní zásady skupiny. Pravým tlačítkem myši vyberte jeden z objektů zásad skupiny, například objekt zásad skupiny počítačů AADDC, a pak zvolte Upravit....
Otevře se nástroj Editor pro správu zásad skupiny, který vám umožní přizpůsobit objekt zásad skupiny, například zásady účtu:

Po dokončení zvolte Uložit soubor > a zásadu uložte. Počítače ve výchozím nastavení aktualizují zásady skupiny každých 90 minut a použijí provedené změny.

Vytvoření vlastního objektu zásad skupiny

Pokud chcete seskupit podobná nastavení zásad, často vytváříte další objekty zásad skupiny místo použití všech požadovaných nastavení v jednom výchozím objektu zásad skupiny. Pomocí služby Domain Services můžete vytvořit nebo importovat vlastní objekty zásad skupiny a propojit je s vlastní organizační OU. Pokud potřebujete nejprve vytvořit vlastní organizační jednotky, přečtěte si téma Vytvoření vlastní organizační jednotky ve spravované doméně.

V konzole pro správu zásad skupiny vyberte vlastní organizační jednotku (OU), například MyCustomOU. Pravým tlačítkem myši vyberte organizační jednotky a v této doméně zvolte Vytvořit objekt zásadU a propojte ho sem...:
Zadejte název novéhoobjektho objektu (GPO), například Vlastní objekt zásad_obnovení, a pak vyberte OK. Tento vlastní objekt zásad skupiny můžete volitelně založit na existujícím objektu zásad skupiny a sadě možností zásad.
Vlastní objekt zásad zásad služby se vytvoří a propojí s vlastní organizační jednotky. Pokud chcete nakonfigurovat nastavení zásad, vyberte vlastní objekt zásad zásad pravým tlačítkem a zvolte Upravit...:
Otevře se Editor správy zásad skupiny, který vám umožní přizpůsobit objekt zásad skupiny:

Po dokončení zvolte Uložit soubor > a zásadu uložte. Počítače ve výchozím nastavení aktualizují zásady skupiny každých 90 minut a použijí provedené změny.