Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Nastavení pro objekty uživatelů a počítačů ve službě Microsoft Entra Domain Services se často spravují pomocí objektů zásad skupiny (GPO). Domain Services zahrnuje integrované objekty zásad skupiny pro uživatele AADDC a počítače AADDC kontejnery. Tyto předdefinované objekty zásad skupiny můžete přizpůsobit tak, aby podle potřeby nakonfigurovali zásady skupiny pro vaše prostředí. Členové skupiny správci řadiče domény AAD mají oprávnění pro správu zásad skupiny v doméně Domain Services a můžou také vytvářet vlastní objekty zásad skupiny a organizační jednotky (OU). Další informace o tom, co jsou zásady skupiny a jak fungují, najdete v tématu Přehled zásad skupiny.
V hybridním prostředí se zásady skupiny nakonfigurované v místním prostředí SLUŽBY AD DS nesynchronují se službou Domain Services. Pokud chcete definovat nastavení konfigurace pro uživatele nebo počítače ve službě Domain Services, upravte jeden z výchozích objektů zásad skupiny nebo vytvořte vlastní objekt zásad skupiny.
V tomto článku se dozvíte, jak nainstalovat nástroje pro správu zásad skupiny a pak upravit předdefinované objekty zásad skupiny a vytvořit vlastní objekty zásad skupiny. Po provedení jakýchkoli změn doporučujeme zálohovat objekty zásad skupiny. Další informace o zálohování a obnovení objektů zásad skupiny najdete v tématu Zálohování, obnovení, migrace a kopírování objektů zásad skupiny.
Pokud vás zajímá strategie správy serverů, včetně počítačů v Azure a hybridních připojených, zvažte čtení o funkci konfigurace hostaAzure Policy.
Požadavky
K dokončení tohoto článku potřebujete následující prostředky a oprávnění:
- Aktivní předplatné Azure.
- Pokud nemáte předplatné Azure, vytvořit účet.
- Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
- V případě potřeby vytvořit tenanta Microsoft Entra nebo přidružit předplatné Azure k vašemu účtu.
- Spravovaná doména služby Microsoft Entra Domain Services je povolená a nakonfigurovaná ve vašem tenantovi Microsoft Entra.
- V případě potřeby dokončete kurz vytvoření a konfigurace spravované domény služby Microsoft Entra Domain Services.
- Virtuální počítač pro správu Windows Serveru, který je připojený ke spravované doméně Domain Services.
- V případě potřeby dokončete kurz a vytvořte virtuální počítač s Windows Serverem a připojte ho ke spravované doméně.
- Uživatelský účet, který je členem skupiny AAD DC Administrators ve vašem tenantovi Microsoft Entra.
Poznámka
Šablony pro správu zásad skupiny můžete použít zkopírováním nových šablon do pracovní stanice pro správu. Zkopírujte soubory .admx do %SYSTEMROOT%\PolicyDefinitions
a zkopírujte soubory .ad ml specifické pro národní prostředí do %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion]
, kde Language-CountryRegion
odpovídá jazyku a oblasti souborů .adml.
Zkopírujte například anglickou verzi souboru .adml do složky \en-us
.
Instalace nástrojů pro správu zásad skupiny
K vytvoření a konfiguraci objektu zásad skupiny (GPO) je potřeba nainstalovat nástroje pro správu zásad skupiny. Tyto nástroje je možné nainstalovat jako funkci ve Windows Serveru. Další informace o tom, jak nainstalovat nástroje pro správu na klienta systému Windows, naleznete v tématu instalace nástroje pro vzdálenou správu serveru (RSAT).
Přihlaste se k virtuálnímu počítači pro správu. Postup připojení pomocí Centra pro správu Microsoft Entra najdete v tématu Připojení k virtuálnímu počítači s Windows Serverem.
Správce serveru by se měl otevřít ve výchozím nastavení při přihlášení k virtuálnímu počítači. Pokud ne, v nabídce Start vyberte Správce serveru.
V podokně řídicího panelu v okně Správce serveru vyberte Přidat role a funkce.
Na stránce Před zahájením průvodce Přidat role a funkcevyberte Další.
U Typ instalaceponechte zaškrtnutou možnost instalace na základě role nebo funkce a vyberte Další.
Na stránce Výběr serveru zvolte aktuální virtuální počítač z fondu serverů, například myvm.aaddscontoso.com, a pak vyberte Další.
Na stránce role serveru klepněte na tlačítko Další.
Na stránce Funkce vyberte funkci správy zásad skupiny .
Na stránce Potvrzení vyberte Nainstalovat. Instalace nástrojů pro správu zásad skupiny může trvat minutu nebo dvě.
Po dokončení instalace funkce vyberte Zavřít ukončete průvodce Přidat role a funkce.
Otevřete konzolu pro správu zásad skupiny a upravte objekt.
Výchozí objekty zásad skupiny existují pro uživatele a počítače ve spravované doméně. S nainstalovanou funkcí Správa zásad skupiny z předchozí části pojďme zobrazit a upravit existující objekt zásad skupiny. V další části vytvoříte vlastní objekt zásadU.
Poznámka
Pokud chcete spravovat zásady skupiny ve spravované doméně, musíte být přihlášení k uživatelskému účtu, který je členem skupiny správci řadiče domény AAD.
Na obrazovce Start vyberte Nástroje pro správu. Zobrazí se seznam dostupných nástrojů pro správu, včetně správy zásad skupiny nainstalované v předchozí části.
Chcete-li otevřít konzolu pro správu zásad skupiny (GPMC), zvolte správa zásad skupiny.
Ve spravované doméně existují dva předdefinované objekty zásad skupiny (GPO) – jeden pro počítače AADDC kontejner a jeden pro kontejner AADDC Users. Tyto objekty zásad skupiny můžete přizpůsobit tak, aby v rámci spravované domény nakonfigurovali zásady skupiny podle potřeby.
V konzole Správa zásad skupiny rozbalte uzel doménové struktury: aaddscontoso.com. Dále rozbalte uzly Domény.
Existují dva předdefinované kontejnery pro počítače AADDC a AADDC Users. Každý z těchto kontejnerů má výchozí objekt zásad skupiny.
Tyto předdefinované objekty zásad skupiny je možné přizpůsobit tak, aby na spravované doméně nakonfigurovaly konkrétní zásady skupiny. Pravým tlačítkem myši vyberte jeden z objektů zásad skupiny, například objekt zásad skupiny počítače AADDC, a pak zvolte Upravit....
Otevře se nástroj Editor pro správu zásad skupiny, který vám umožní přizpůsobit objekt zásad skupiny, například zásady účtu:
Až budete hotovi, zvolte Soubor > Uložit zásadu uložte. Počítače ve výchozím nastavení aktualizují zásady skupiny každých 90 minut a použijí provedené změny.
Vytvoření vlastního objektu zásad skupiny
Pokud chcete seskupit podobná nastavení zásad, často vytváříte další objekty zásad skupiny místo použití všech požadovaných nastavení v jednom výchozím objektu zásad skupiny. Pomocí služby Domain Services můžete vytvořit nebo importovat vlastní objekty zásad skupiny a propojit je s vlastní organizační OU. Pokud potřebujete nejprve vytvořit vlastní organizační jednotky, přečtěte si téma vytvoření vlastní organizační jednotky ve spravované doméně.
V konzole pro správu zásad skupiny vyberte vlastní organizační jednotku ,například MyCustomOU. Pravým tlačítkem myši vyberte organizační jednotky a zvolte Vytvořit objekt zásadU v této doméně a propojte ho sem...:
Zadejte název novéhoobjektho objektu , například vlastníobjektu zásadu , a pak vyberte OK. Tento vlastní objekt zásad skupiny můžete volitelně založit na existujícím objektu zásad skupiny a sadě možností zásad.
objektu zásad_GPO
Vlastní objekt zásad zásad služby se vytvoří a propojí s vlastní organizační jednotky. Pokud chcete nakonfigurovat nastavení zásad, vyberte vlastní objekt zásad zásad pravým tlačítkem a zvolte Upravit...:
Otevře se editor pro správu zásad skupiny , který vám umožní přizpůsobit objekt zásad skupiny:
Až budete hotovi, zvolte Soubor > Uložit zásadu uložte. Počítače ve výchozím nastavení aktualizují zásady skupiny každých 90 minut a použijí provedené změny.