Sdílet prostřednictvím


Správa zásad skupiny ve spravované doméně služby Microsoft Entra Domain Services

Nastavení pro objekty uživatelů a počítačů ve službě Microsoft Entra Domain Services se často spravují pomocí objektů zásad skupiny (GPO). Domain Services zahrnuje integrované objekty zásad skupiny pro uživatele AADDC a počítače AADDC kontejnery. Tyto předdefinované objekty zásad skupiny můžete přizpůsobit tak, aby podle potřeby nakonfigurovali zásady skupiny pro vaše prostředí. Členové skupiny správci řadiče domény AAD mají oprávnění pro správu zásad skupiny v doméně Domain Services a můžou také vytvářet vlastní objekty zásad skupiny a organizační jednotky (OU). Další informace o tom, co jsou zásady skupiny a jak fungují, najdete v tématu Přehled zásad skupiny.

V hybridním prostředí se zásady skupiny nakonfigurované v místním prostředí SLUŽBY AD DS nesynchronují se službou Domain Services. Pokud chcete definovat nastavení konfigurace pro uživatele nebo počítače ve službě Domain Services, upravte jeden z výchozích objektů zásad skupiny nebo vytvořte vlastní objekt zásad skupiny.

V tomto článku se dozvíte, jak nainstalovat nástroje pro správu zásad skupiny a pak upravit předdefinované objekty zásad skupiny a vytvořit vlastní objekty zásad skupiny. Po provedení jakýchkoli změn doporučujeme zálohovat objekty zásad skupiny. Další informace o zálohování a obnovení objektů zásad skupiny najdete v tématu Zálohování, obnovení, migrace a kopírování objektů zásad skupiny.

Pokud vás zajímá strategie správy serverů, včetně počítačů v Azure a hybridních připojených, zvažte čtení o funkci konfigurace hostaAzure Policy.

Požadavky

K dokončení tohoto článku potřebujete následující prostředky a oprávnění:

Poznámka

Šablony pro správu zásad skupiny můžete použít zkopírováním nových šablon do pracovní stanice pro správu. Zkopírujte soubory .admx do %SYSTEMROOT%\PolicyDefinitions a zkopírujte soubory .ad ml specifické pro národní prostředí do %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], kde Language-CountryRegion odpovídá jazyku a oblasti souborů .adml.

Zkopírujte například anglickou verzi souboru .adml do složky \en-us.

Instalace nástrojů pro správu zásad skupiny

K vytvoření a konfiguraci objektu zásad skupiny (GPO) je potřeba nainstalovat nástroje pro správu zásad skupiny. Tyto nástroje je možné nainstalovat jako funkci ve Windows Serveru. Další informace o tom, jak nainstalovat nástroje pro správu na klienta systému Windows, naleznete v tématu instalace nástroje pro vzdálenou správu serveru (RSAT).

  1. Přihlaste se k virtuálnímu počítači pro správu. Postup připojení pomocí Centra pro správu Microsoft Entra najdete v tématu Připojení k virtuálnímu počítači s Windows Serverem.

  2. Správce serveru by se měl otevřít ve výchozím nastavení při přihlášení k virtuálnímu počítači. Pokud ne, v nabídce Start vyberte Správce serveru.

  3. V podokně řídicího panelu v okně Správce serveru vyberte Přidat role a funkce.

  4. Na stránce Před zahájením průvodce Přidat role a funkcevyberte Další.

  5. U Typ instalaceponechte zaškrtnutou možnost instalace na základě role nebo funkce a vyberte Další.

  6. Na stránce Výběr serveru zvolte aktuální virtuální počítač z fondu serverů, například myvm.aaddscontoso.com, a pak vyberte Další.

  7. Na stránce role serveru klepněte na tlačítko Další.

  8. Na stránce Funkce vyberte funkci správy zásad skupiny .

    instalace správy zásad skupiny ze stránky Funkce

  9. Na stránce Potvrzení vyberte Nainstalovat. Instalace nástrojů pro správu zásad skupiny může trvat minutu nebo dvě.

  10. Po dokončení instalace funkce vyberte Zavřít ukončete průvodce Přidat role a funkce.

Otevřete konzolu pro správu zásad skupiny a upravte objekt.

Výchozí objekty zásad skupiny existují pro uživatele a počítače ve spravované doméně. S nainstalovanou funkcí Správa zásad skupiny z předchozí části pojďme zobrazit a upravit existující objekt zásad skupiny. V další části vytvoříte vlastní objekt zásadU.

Poznámka

Pokud chcete spravovat zásady skupiny ve spravované doméně, musíte být přihlášení k uživatelskému účtu, který je členem skupiny správci řadiče domény AAD.

  1. Na obrazovce Start vyberte Nástroje pro správu. Zobrazí se seznam dostupných nástrojů pro správu, včetně správy zásad skupiny nainstalované v předchozí části.

  2. Chcete-li otevřít konzolu pro správu zásad skupiny (GPMC), zvolte správa zásad skupiny.

    Otevře se konzola pro správu zásad skupiny připravená k úpravě objektů zásad skupiny

Ve spravované doméně existují dva předdefinované objekty zásad skupiny (GPO) – jeden pro počítače AADDC kontejner a jeden pro kontejner AADDC Users. Tyto objekty zásad skupiny můžete přizpůsobit tak, aby v rámci spravované domény nakonfigurovali zásady skupiny podle potřeby.

  1. V konzole Správa zásad skupiny rozbalte uzel doménové struktury: aaddscontoso.com. Dále rozbalte uzly Domény.

    Existují dva předdefinované kontejnery pro počítače AADDC a AADDC Users. Každý z těchto kontejnerů má výchozí objekt zásad skupiny.

    předdefinované objekty zásad skupiny použité u výchozích kontejnerů AADDC Computers a AADDC Users

  2. Tyto předdefinované objekty zásad skupiny je možné přizpůsobit tak, aby na spravované doméně nakonfigurovaly konkrétní zásady skupiny. Pravým tlačítkem myši vyberte jeden z objektů zásad skupiny, například objekt zásad skupiny počítače AADDC, a pak zvolte Upravit....

    Zvolte možnost Upravit jednu z předdefinovaných objektů zásad skupiny

  3. Otevře se nástroj Editor pro správu zásad skupiny, který vám umožní přizpůsobit objekt zásad skupiny, například zásady účtu:

    snímek obrazovky editoru správy zásad skupiny

    Až budete hotovi, zvolte Soubor > Uložit zásadu uložte. Počítače ve výchozím nastavení aktualizují zásady skupiny každých 90 minut a použijí provedené změny.

Vytvoření vlastního objektu zásad skupiny

Pokud chcete seskupit podobná nastavení zásad, často vytváříte další objekty zásad skupiny místo použití všech požadovaných nastavení v jednom výchozím objektu zásad skupiny. Pomocí služby Domain Services můžete vytvořit nebo importovat vlastní objekty zásad skupiny a propojit je s vlastní organizační OU. Pokud potřebujete nejprve vytvořit vlastní organizační jednotky, přečtěte si téma vytvoření vlastní organizační jednotky ve spravované doméně.

  1. V konzole pro správu zásad skupiny vyberte vlastní organizační jednotku ,například MyCustomOU. Pravým tlačítkem myši vyberte organizační jednotky a zvolte Vytvořit objekt zásadU v této doméně a propojte ho sem...:

    vytvoření vlastního objektu zásad skupiny v konzole pro správu zásad skupiny

  2. Zadejte název novéhoobjektho objektu , například vlastníobjektu zásadu , a pak vyberte OK. Tento vlastní objekt zásad skupiny můžete volitelně založit na existujícím objektu zásad skupiny a sadě možností zásad.

    Zadejte název nového vlastního objektu zásad_GPO

  3. Vlastní objekt zásad zásad služby se vytvoří a propojí s vlastní organizační jednotky. Pokud chcete nakonfigurovat nastavení zásad, vyberte vlastní objekt zásad zásad pravým tlačítkem a zvolte Upravit...:

    Zvolte možnost Upravit vlastní objekt zásad skupiny

  4. Otevře se editor pro správu zásad skupiny , který vám umožní přizpůsobit objekt zásad skupiny:

    Přizpůsobení objektu zásad zásad zabezpečení pro konfiguraci nastavení podle požadovaných

    Až budete hotovi, zvolte Soubor > Uložit zásadu uložte. Počítače ve výchozím nastavení aktualizují zásady skupiny každých 90 minut a použijí provedené změny.