Mengelola Kebijakan Grup di domain terkelola Microsoft Entra Domain Services

Pengaturan untuk objek pengguna dan komputer di Microsoft Entra Domain Services sering dikelola menggunakan Objek Kebijakan Grup (GPO). Layanan Domain mencakup GPO bawaan untuk kontainer Pengguna AADDC dan Komputer AADDC . Anda dapat menyesuaikan GPO bawaan ini untuk mengonfigurasi Kebijakan Grup sesuai kebutuhan untuk lingkungan Anda. Anggota grup Administrator AAD DC memiliki hak istimewa administrasi Kebijakan Grup di domain Layanan Domain, dan juga dapat membuat GPO kustom dan unit organisasi (OU). Untuk informasi selengkapnya tentang kebijakan grup dan cara kerjanya, lihat Gambaran umum Kebijakan Grup.

Di lingkungan hibrid, kebijakan grup yang dikonfigurasi di lingkungan AD DS lokal tidak disinkronkan ke Layanan Domain. Untuk menentukan pengaturan konfigurasi untuk pengguna atau komputer di Domain Services, edit salah satu GPO default atau buat GPO kustom.

Artikel ini memperlihatkan kepada Anda cara menginstal alat Manajemen Kebijakan Grup, lalu mengedit GPO bawaan dan membuat GPO kustom. Kami menyarankan agar Anda mencadangkan GPO setelah membuat perubahan apa pun pada GPO. Untuk informasi selengkapnya tentang cara mencadangkan dan memulihkan GPO, lihat Mencadangkan, memulihkan, memigrasikan, dan menyalin Objek Kebijakan Grup.

Jika Anda tertarik dengan strategi manajemen server, termasuk mesin di Azure dan terhubung hibrid, pertimbangkan untuk membaca tentang fitur konfigurasi tamuAzure Policy.

Prasyarat

Untuk menyelesaikan artikel ini, Anda memerlukan sumber daya dan hak istimewa berikut:

• Langganan Azure aktif.
  • Jika Anda tidak memiliki langganan Azure, buat akun.
• Instansi Microsoft Entra yang terkait dengan langganan Anda, baik diselaraskan dengan direktori lokal maupun direktori yang hanya berbasis cloud.
  • Jika diperlukan, buat tenant Microsoft Entra atau kaitkan langganan Azure dengan akun Anda.
• Domain yang dikelola oleh Microsoft Entra Domain Services telah diaktifkan dan dikonfigurasi pada tenant Microsoft Entra Anda.
  • Jika diperlukan, selesaikan tutorial untuk membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services.
• VM manajemen Windows Server yang bergabung ke domain terkelola Domain Services.
  • Jika diperlukan, selesaikan tutorial untuk membuat VM Windows Server dan gabungkan ke domain terkelola.
• Akun pengguna yang merupakan anggota grup Administrator AAD DC di penyewa Microsoft Entra Anda.

Nota

Anda dapat menggunakan Templat Administratif Kebijakan Grup dengan menyalin templat baru ke stasiun kerja manajemen. Salin file .admx ke dalam %SYSTEMROOT%\PolicyDefinitions dan salin file .adml khusus lokal ke %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], di mana Language-CountryRegion cocok dengan bahasa dan wilayah file .adml .

Misalnya, salin file .adml versi Bahasa Inggris, Amerika Serikat ke \en-us dalam folder.

Menginstal alat Manajemen Kebijakan Grup

Untuk membuat dan mengonfigurasi Objek Kebijakan Grup (GPO), Anda perlu menginstal alat Manajemen Kebijakan Grup. Alat-alat ini dapat diinstal sebagai fitur di Windows Server. Untuk informasi selengkapnya tentang cara menginstal alat administratif pada klien Windows, lihat menginstal Remote Server Administration Tools (RSAT).

1. Masuk ke VM manajemen Anda. Untuk langkah-langkah tentang cara menyambungkan menggunakan pusat admin Microsoft Entra, lihat Menyambungkan ke VM Windows Server.

2. Manajer Server harus terbuka secara default saat Anda masuk ke VM. Jika tidak, pada menu Mulai , pilih Manajer Server.

3. Di panel Dasbor jendela Manajer Server , pilih Tambahkan Peran dan Fitur.

4. Pada halaman Sebelum Memulaiwizard Tambahkan Peran dan Fitur, pilih Berikutnya.

5. Untuk Jenis Penginstalan, biarkan opsi penginstalan berbasis peran atau berbasis fitur dicentang dan pilih Berikutnya.

6. Pada halaman Pilihan Server , pilih VM saat ini dari kumpulan server, seperti myvm.aaddscontoso.com, lalu pilih Berikutnya.

7. Pada halaman Peran Server , klik Berikutnya.

8. Pada halaman Fitur , pilih fitur Manajemen Kebijakan Grup .

   

9. Pada halaman Konfirmasi, pilih Instal. Mungkin perlu waktu satu atau dua menit untuk menginstal alat Manajemen Kebijakan Grup.

10. Saat penginstalan fitur selesai, pilih Tutup untuk keluar dari wizard Tambahkan Peran dan Fitur .

Buka Konsol Manajemen Kebijakan Grup dan edit objek

Objek kebijakan grup default (GPO) ada untuk pengguna dan komputer di domain terkelola. Dengan fitur Manajemen Kebijakan Grup yang diinstal dari bagian sebelumnya, mari kita lihat dan edit GPO yang ada. Di bagian berikutnya, Anda membuat GPO kustom.

Nota

Untuk mengelola Kebijakan Grup di domain terkelola, Anda harus masuk ke akun pengguna yang merupakan anggota grup Administrator AAD DC .

1. Dari layar Mulai, pilih Alat Administratif. Daftar alat manajemen yang tersedia ditampilkan, termasuk Manajemen Kebijakan Grup yang diinstal di bagian sebelumnya.

2. Untuk membuka Konsol Manajemen Kebijakan Grup (GPMC), pilih Manajemen Kebijakan Grup.

   

Ada dua Objek Kebijakan Grup (GPO) bawaan di domain terkelola - satu untuk kontainer Komputer AADDC , dan satu untuk kontainer Pengguna AADDC . Anda dapat menyesuaikan GPO ini untuk mengonfigurasi kebijakan grup sesuai kebutuhan dalam domain terkelola Anda.

1. Di konsol Manajemen Kebijakan Grup , perluas simpul Forest: aaddscontoso.com . Selanjutnya, perluas simpul Domain .

   Ada dua kontainer bawaan untuk Komputer AADDC dan Pengguna AADDC. Masing-masing kontainer ini memiliki GPO default yang diterapkan padanya.

   

2. GPO bawaan ini dapat disesuaikan untuk mengonfigurasi kebijakan grup tertentu di domain terkelola Anda. Pilih kanan salah satu GPO, seperti GPO Komputer AADDC, lalu pilih Edit....

   

3. Alat Editor Manajemen Kebijakan Grup terbuka untuk memungkinkan Anda menyesuaikan GPO, seperti Kebijakan Akun:

   

   Setelah selesai, pilih Simpan File > untuk menyimpan kebijakan. Komputer menyegarkan Kebijakan Grup secara default setiap 90 menit dan menerapkan perubahan yang Anda buat.

Membuat Objek Kebijakan Grup kustom

Untuk mengelompokkan pengaturan kebijakan serupa, Anda sering membuat GPO tambahan alih-alih menerapkan semua pengaturan yang diperlukan dalam GPO default tunggal. Dengan Layanan Domain, Anda dapat membuat atau mengimpor objek kebijakan grup kustom Anda sendiri dan menautkannya ke unit organisasi kustom. Jika Anda perlu terlebih dahulu membuat unit organisasi kustom, lihat membuat unit organisasi kustom di domain terkelola.

1. Di konsol Manajemen Kebijakan Grup , pilih unit organisasi kustom (OU) Anda, seperti MyCustomOU. Pilih kanan unit organisasi dan pilih Buat GPO di domain ini, dan Tautkan di sini...:

   

2. Tentukan nama untuk GPO baru, seperti GPO kustom saya, lalu pilih OK. Anda dapat secara opsional mendasarkan GPO kustom ini pada GPO yang ada dan serangkaian opsi kebijakan.

   

3. GPO kustom dibuat dan ditautkan ke unit organisasi kustom Anda. Untuk sekarang mengonfigurasi pengaturan kebijakan, pilih kanan GPO kustom dan pilih Edit...:

   

4. Editor Manajemen Kebijakan Grup terbuka untuk memungkinkan Anda menyesuaikan GPO:

   

   Setelah selesai, pilih Simpan File > untuk menyimpan kebijakan. Komputer menyegarkan Kebijakan Grup secara default setiap 90 menit dan menerapkan perubahan yang Anda buat.

Konten terkait

• Bekerja dengan item preferensi Kebijakan Grup

Pengaturan untuk objek pengguna dan komputer di Microsoft Entra Domain Services sering dikelola menggunakan Objek Kebijakan Grup (GPO). Layanan Domain mencakup GPO bawaan untuk kontainer Pengguna AADDC dan Komputer AADDC . Anda dapat menyesuaikan GPO bawaan ini untuk mengonfigurasi Kebijakan Grup sesuai kebutuhan untuk lingkungan Anda. Anggota grup Administrator AAD DC memiliki hak istimewa administrasi Kebijakan Grup di domain Layanan Domain, dan juga dapat membuat GPO kustom dan unit organisasi (OU). Untuk informasi selengkapnya tentang kebijakan grup dan cara kerjanya, lihat Gambaran umum Kebijakan Grup.

Di lingkungan hibrid, kebijakan grup yang dikonfigurasi di lingkungan AD DS lokal tidak disinkronkan ke Layanan Domain. Untuk menentukan pengaturan konfigurasi untuk pengguna atau komputer di Domain Services, edit salah satu GPO default atau buat GPO kustom.

Artikel ini memperlihatkan kepada Anda cara menginstal alat Manajemen Kebijakan Grup, lalu mengedit GPO bawaan dan membuat GPO kustom. Kami menyarankan agar Anda mencadangkan GPO setelah membuat perubahan apa pun pada GPO. Untuk informasi selengkapnya tentang cara mencadangkan dan memulihkan GPO, lihat Mencadangkan, memulihkan, memigrasikan, dan menyalin Objek Kebijakan Grup.

Jika Anda tertarik dengan strategi manajemen server, termasuk mesin di Azure dan terhubung hibrid, pertimbangkan untuk membaca tentang fitur konfigurasi tamuAzure Policy.

Untuk menyelesaikan artikel ini, Anda memerlukan sumber daya dan hak istimewa berikut:

• Langganan Azure aktif.
  • Jika Anda tidak memiliki langganan Azure, buat akun.
• Instansi Microsoft Entra yang terkait dengan langganan Anda, baik diselaraskan dengan direktori lokal maupun direktori yang hanya berbasis cloud.
  • Jika diperlukan, buat tenant Microsoft Entra atau kaitkan langganan Azure dengan akun Anda.
• Domain yang dikelola oleh Microsoft Entra Domain Services telah diaktifkan dan dikonfigurasi pada tenant Microsoft Entra Anda.
  • Jika diperlukan, selesaikan tutorial untuk membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services.
• VM manajemen Windows Server yang bergabung ke domain terkelola Domain Services.
  • Jika diperlukan, selesaikan tutorial untuk membuat VM Windows Server dan gabungkan ke domain terkelola.
• Akun pengguna yang merupakan anggota grup Administrator AAD DC di penyewa Microsoft Entra Anda.

Nota

Anda dapat menggunakan Templat Administratif Kebijakan Grup dengan menyalin templat baru ke stasiun kerja manajemen. Salin file .admx ke dalam %SYSTEMROOT%\PolicyDefinitions dan salin file .adml khusus lokal ke %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], di mana Language-CountryRegion cocok dengan bahasa dan wilayah file .adml .

Misalnya, salin file .adml versi Bahasa Inggris, Amerika Serikat ke \en-us dalam folder.

Untuk membuat dan mengonfigurasi Objek Kebijakan Grup (GPO), Anda perlu menginstal alat Manajemen Kebijakan Grup. Alat-alat ini dapat diinstal sebagai fitur di Windows Server. Untuk informasi selengkapnya tentang cara menginstal alat administratif pada klien Windows, lihat menginstal Remote Server Administration Tools (RSAT).

1. Masuk ke VM manajemen Anda. Untuk langkah-langkah tentang cara menyambungkan menggunakan pusat admin Microsoft Entra, lihat Menyambungkan ke VM Windows Server.

2. Manajer Server harus terbuka secara default saat Anda masuk ke VM. Jika tidak, pada menu Mulai , pilih Manajer Server.

3. Di panel Dasbor jendela Manajer Server , pilih Tambahkan Peran dan Fitur.

4. Pada halaman Sebelum Memulaiwizard Tambahkan Peran dan Fitur, pilih Berikutnya.

5. Untuk Jenis Penginstalan, biarkan opsi penginstalan berbasis peran atau berbasis fitur dicentang dan pilih Berikutnya.

6. Pada halaman Pilihan Server , pilih VM saat ini dari kumpulan server, seperti myvm.aaddscontoso.com, lalu pilih Berikutnya.

7. Pada halaman Peran Server , klik Berikutnya.

8. Pada halaman Fitur , pilih fitur Manajemen Kebijakan Grup .

   

9. Pada halaman Konfirmasi, pilih Instal. Mungkin perlu waktu satu atau dua menit untuk menginstal alat Manajemen Kebijakan Grup.

10. Saat penginstalan fitur selesai, pilih Tutup untuk keluar dari wizard Tambahkan Peran dan Fitur .

Objek kebijakan grup default (GPO) ada untuk pengguna dan komputer di domain terkelola. Dengan fitur Manajemen Kebijakan Grup yang diinstal dari bagian sebelumnya, mari kita lihat dan edit GPO yang ada. Di bagian berikutnya, Anda membuat GPO kustom.

Nota

Untuk mengelola Kebijakan Grup di domain terkelola, Anda harus masuk ke akun pengguna yang merupakan anggota grup Administrator AAD DC .

1. Dari layar Mulai, pilih Alat Administratif. Daftar alat manajemen yang tersedia ditampilkan, termasuk Manajemen Kebijakan Grup yang diinstal di bagian sebelumnya.

2. Untuk membuka Konsol Manajemen Kebijakan Grup (GPMC), pilih Manajemen Kebijakan Grup.

   

Ada dua Objek Kebijakan Grup (GPO) bawaan di domain terkelola - satu untuk kontainer Komputer AADDC , dan satu untuk kontainer Pengguna AADDC . Anda dapat menyesuaikan GPO ini untuk mengonfigurasi kebijakan grup sesuai kebutuhan dalam domain terkelola Anda.

1. Di konsol Manajemen Kebijakan Grup , perluas simpul Forest: aaddscontoso.com . Selanjutnya, perluas simpul Domain .

   Ada dua kontainer bawaan untuk Komputer AADDC dan Pengguna AADDC. Masing-masing kontainer ini memiliki GPO default yang diterapkan padanya.

   

2. GPO bawaan ini dapat disesuaikan untuk mengonfigurasi kebijakan grup tertentu di domain terkelola Anda. Pilih kanan salah satu GPO, seperti GPO Komputer AADDC, lalu pilih Edit....

   

3. Alat Editor Manajemen Kebijakan Grup terbuka untuk memungkinkan Anda menyesuaikan GPO, seperti Kebijakan Akun:

   

   Setelah selesai, pilih Simpan File > untuk menyimpan kebijakan. Komputer menyegarkan Kebijakan Grup secara default setiap 90 menit dan menerapkan perubahan yang Anda buat.

Untuk mengelompokkan pengaturan kebijakan serupa, Anda sering membuat GPO tambahan alih-alih menerapkan semua pengaturan yang diperlukan dalam GPO default tunggal. Dengan Layanan Domain, Anda dapat membuat atau mengimpor objek kebijakan grup kustom Anda sendiri dan menautkannya ke unit organisasi kustom. Jika Anda perlu terlebih dahulu membuat unit organisasi kustom, lihat membuat unit organisasi kustom di domain terkelola.

1. Di konsol Manajemen Kebijakan Grup , pilih unit organisasi kustom (OU) Anda, seperti MyCustomOU. Pilih kanan unit organisasi dan pilih Buat GPO di domain ini, dan Tautkan di sini...:

   

2. Tentukan nama untuk GPO baru, seperti GPO kustom saya, lalu pilih OK. Anda dapat secara opsional mendasarkan GPO kustom ini pada GPO yang ada dan serangkaian opsi kebijakan.

   

3. GPO kustom dibuat dan ditautkan ke unit organisasi kustom Anda. Untuk sekarang mengonfigurasi pengaturan kebijakan, pilih kanan GPO kustom dan pilih Edit...:

   

4. Editor Manajemen Kebijakan Grup terbuka untuk memungkinkan Anda menyesuaikan GPO:

   

   Setelah selesai, pilih Simpan File > untuk menyimpan kebijakan. Komputer menyegarkan Kebijakan Grup secara default setiap 90 menit dan menerapkan perubahan yang Anda buat.