Verwalten von Gruppenrichtlinien in einer von Azure Active Directory Domain Services verwalteten Domäne

Einstellungen für Benutzer- und Computerobjekte in Azure Active Directory Domain Services (Azure AD DS) werden häufig über Gruppenrichtlinienobjekte (GPOs) verwaltet. Azure AD DS umfasst integrierte GPOs für die Container AADDC-Benutzer und AADDC-Computer. Sie können diese integrierten GPOs anpassen, um die Gruppenrichtlinie nach Bedarf für Ihre Umgebung zu konfigurieren. Mitglieder der Gruppe Azure AD DC-Administratoren haben Gruppenrichtlinien-Administratorrechte in der Azure AD DS-Domäne und können auch benutzerdefinierte Gruppenrichtlinienobjekte und Organisationseinheiten erstellen. Weitere Informationen zu Gruppenrichtlinien und deren Funktionsweise finden Sie unter Übersicht über Gruppenrichtlinien.

In einer Hybridumgebung werden die in einer lokalen AD DS-Umgebung konfigurierten Gruppenrichtlinien nicht mit Azure AD DS synchronisiert. Um Konfigurationseinstellungen für Benutzer oder Computer in Azure AD DS zu definieren, bearbeiten Sie eines der Standard-Gruppenrichtlinienobjekte, oder erstellen Sie ein benutzerdefiniertes Gruppenrichtlinienobjekt.

In diesem Artikel erfahren Sie, wie Sie die Gruppenrichtlinien-Verwaltungstools installieren, dann die integrierten GPOs bearbeiten und benutzerdefinierte GPOs erstellen.

Wenn Sie an einer Serververwaltungsstrategie interessiert sind, einschließlich Computern in Azure und mit Hybridverbindung, sollten Sie die Informationen zum Gastkonfigurationsfeature von Azure Policy lesen.

Voraussetzungen

Für diesen Artikel benötigen Sie die folgenden Ressourcen und Berechtigungen:

Hinweis

Sie können administrative Vorlagen für Gruppenrichtlinien verwenden, indem Sie die neuen Vorlagen in die Verwaltungsarbeitsstation kopieren. Kopieren Sie die ADMX-Dateien in das Verzeichnis %SYSTEMROOT%\PolicyDefinitions und die gebietsschemaspezifischen ADML-Dateien in das Verzeichnis %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], wobei Language-CountryRegion der Sprache und der Region der ADML-Dateien entspricht.

Kopieren Sie z. B. die Version „en-US (Englisch, USA)“ der ADML-Dateien in den Ordner \en-us.

Installieren der Gruppenrichtlinien-Verwaltungstools

Um Gruppenrichtlinienobjekte (Group Policy Object, GPOs) zu erstellen und zu konfigurieren, müssen Sie die Gruppenrichtlinien-Verwaltungstools installieren. Diese Tools können als Feature in Windows Server installiert werden. Weitere Informationen zum Installieren der Verwaltungstools auf einem Windows-Client finden Sie unter Installieren der Remoteserver-Verwaltungstools (RSAT).

  1. Melden Sie sich bei Ihrer Verwaltungs-VM an. Weitere Informationen zu den Schritten zum Herstellen einer Verbindung mithilfe des Azure-Portals finden Sie unter Herstellen einer Verbindung mit einer Windows Server-VM.

  2. Der Server-Manager sollte standardmäßig geöffnet werden, wenn Sie sich bei der VM anmelden. Wenn dies nicht der Fall ist, wählen Sie im Startmenü die Option Server-Manager aus.

  3. Wählen Sie im Bereich Dashboard des Fensters Server-Manager die Option Rollen und Features hinzufügen aus.

  4. Klicken Sie auf der Seite Vorbereitung des Assistenten zum Hinzufügen von Rollen und Features auf Weiter.

  5. Lassen Sie für Installationstyp die Option Rollenbasierte oder featurebasierte Installation aktiviert, und wählen Sie Weiter aus.

  6. Wählen Sie auf der Seite Serverauswahl den aktuellen virtuellen Computer aus dem Serverpool aus (z. B. myvm.aaddscontoso.com), und wählen Sie dann Weiter aus.

  7. Klicken Sie auf der Seite Serverrollen auf Weiter.

  8. Wählen Sie auf der Seite Features das Feature Gruppenrichtlinienverwaltung aus.

    Installieren der „Gruppenrichtlinienverwaltung“ über die Seite „Features“

  9. Wählen Sie auf der Seite Bestätigung die Option Installieren aus. Die Installation der Tools für die Gruppenrichtlinienverwaltung kann ein bis zwei Minuten dauern.

  10. Wenn die Installation des Features abgeschlossen ist, wählen Sie Schließen aus, um den Assistenten zum Hinzufügen von Rollen und Features zu beenden.

Öffnen der Gruppenrichtlinien-Verwaltungskonsole und Bearbeiten eines Objekts

Für Benutzer und Computer in einer verwalteten Domäne sind Standard-Gruppenrichtlinienobjekte (GPOs) vorhanden. Wenn das Feature zur Gruppenrichtlinienverwaltung aus dem vorherigen Abschnitt installiert ist, können wir ein vorhandenes Gruppenrichtlinienobjekt anzeigen und bearbeiten. Im nächsten Abschnitt erstellen Sie ein benutzerdefiniertes Gruppenrichtlinienobjekt.

Hinweis

Zum Verwalten einer Gruppenrichtlinie in einer verwalteten Domäne müssen Sie bei einem Benutzerkonto angemeldet sein, das Mitglied der Gruppe AAD DC-Administrators ist.

  1. Klicken Sie auf dem Startbildschirm auf Verwaltung. Es wird eine Liste der verfügbaren Verwaltungstools angezeigt, einschließlich der Gruppenrichtlinienverwaltung, die im vorherigen Abschnitt installiert wurde.

  2. Wählen Sie Gruppenrichtlinienverwaltung aus, um die Gruppenrichtlinien-Verwaltungskonsole (GPMC) zu öffnen.

    Die Gruppenrichtlinien-Verwaltungskonsole wird geöffnet, um Gruppenrichtlinienobjekte zu bearbeiten.

Es gibt zwei integrierte Gruppenrichtlinienobjekte (GPOs) in einer verwalteten Domäne: eines für den Container AADDC-Computer und eines für den Container AADDC-Benutzer. Sie können diese GPOs anpassen, um Gruppenrichtlinien nach Bedarf innerhalb Ihrer verwalteten Domäne zu konfigurieren.

  1. Erweitern Sie in der Gruppenrichtlinien-Verwaltungskonsole den Knoten Gesamtstruktur: aaddscontoso.com. Erweitern Sie anschließend die Domänen-Knoten.

    Es gibt zwei integrierte Container für AADDC-Computer und AADDC-Benutzer. Jedem dieser Container ist ein Standard-GPO zugeordnet.

    Auf die standardmäßigen Container „AADDC-Computer“ und „AADDC-Benutzer“ angewandte integrierte GPOs

  2. Diese integrierten GPOs können angepasst werden, um bestimmte Gruppenrichtlinien für Ihre verwaltete Domäne zu konfigurieren. Klicken Sie mit der rechten Maustaste auf eines der Gruppenrichtlinienobjekte (beispielsweise AADDC-Computer-GPO), und wählen Sie dann Bearbeiten... aus.

    Wählen Sie die Option zum Bearbeiten eines der integrierten Gruppenrichtlinienobjekte aus.

  3. Das Tool „Gruppenrichtlinienverwaltungs-Editor“ wird geöffnet, mit dem Sie das Gruppenrichtlinienobjekt anpassen können, z. B. Kontorichtlinien:

    Screenshot des Gruppenrichtlinienverwaltungs-Editors.

    Wenn Sie fertig sind, wählen Sie Datei > Speichern aus, um die Richtlinie zu speichern. Computer aktualisieren die Gruppenrichtlinie standardmäßig alle 90 Minuten und übernehmen die von Ihnen vorgenommenen Änderungen.

Erstellen eines benutzerdefinierten Gruppenrichtlinienobjekts

Um ähnliche Richtlinieneinstellungen zu gruppieren, erstellen Sie häufig zusätzliche GPOs, anstatt alle erforderlichen Einstellungen in dem einzelnen, standardmäßigen GPO anzuwenden. Mit Azure AD DS können Sie Ihre eigenen benutzerdefinierten Gruppenrichtlinienobjekte erstellen oder importieren und diese mit einer benutzerdefinierten Organisationseinheit verknüpfen. Wenn Sie zuerst eine benutzerdefinierte Organisationseinheit erstellen müssen, finden Sie weitere Informationen unter Erstellen einer benutzerdefinierten Organisationseinheit in einer verwalteten Domäne.

  1. Wählen Sie in der Konsole für die Gruppenrichtlinienverwaltung die benutzerdefinierte Organisationseinheit aus, z. B. MyCustomOU. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, und wählen Sie dann Gruppenrichtlinienobjekt hier erstellen und verknüpfen... aus.

    Erstellen eines benutzerdefinierten GPOs in der Gruppenrichtlinien-Verwaltungskonsole

  2. Geben Sie einen Namen für das neue GPO an, z. B. Mein benutzerdefiniertes GPO, und wählen Sie dann OK aus. Sie können dieses benutzerdefinierte GPO optional auf einem vorhandenen GPO und einer Reihe von Richtlinienoptionen aufbauen.

    Geben Sie einen Namen für das neue benutzerdefinierte Gruppenrichtlinienobjekt an.

  3. Das benutzerdefinierte GPO wird erstellt und mit Ihrer benutzerdefinierten Organisationseinheit verknüpft. Klicken Sie mit der rechten Maustaste auf das benutzerdefinierte GPO, und wählen Sie Bearbeiten... aus, um jetzt die Richtlinieneinstellungen zu konfigurieren:

    Wählen Sie die Option zum Bearbeiten des benutzerdefinierten Gruppenrichtlinienobjekts aus.

  4. Der Gruppenrichtlinienverwaltungs-Editor wird geöffnet, mit dem Sie das Gruppenrichtlinienobjekt anpassen können:

    Anpassen des Gruppenrichtlinienobjekts zum bedarfsgesteuerten Konfigurieren der Einstellungen

    Wenn Sie fertig sind, wählen Sie Datei > Speichern aus, um die Richtlinie zu speichern. Computer aktualisieren die Gruppenrichtlinie standardmäßig alle 90 Minuten und übernehmen die von Ihnen vorgenommenen Änderungen.

Nächste Schritte

Weitere Informationen zu den verfügbaren Gruppenrichtlinieneinstellungen, die Sie über die Gruppenrichtlinien-Verwaltungskonsole konfigurieren können, finden Sie unter Arbeiten mit Gruppenrichtlinien-Einstellungselementen.