Mengelola Kebijakan Grup di domain terkelola Microsoft Entra Domain Services

Bagaimana
10/19/2023

Pengaturan untuk objek pengguna dan komputer di Microsoft Entra Domain Services sering dikelola menggunakan Objek Kebijakan Grup (GPO). Layanan Domain mencakup GPO bawaan untuk kontainer Pengguna AADDC dan Komputer AADDC. Anda dapat menyesuaikan GPO bawaan ini untuk mengonfigurasi Kebijakan Grup sesuai kebutuhan untuk lingkungan Anda. Anggota grup Administrator AAD DC memiliki hak istimewa administrasi Kebijakan Grup di domain Layanan Domain, dan juga dapat membuat GPO kustom dan unit organisasi (OU). Untuk informasi selengkapnya tentang Kebijakan Grup apa dan cara kerjanya, lihat gambaran umum Kebijakan Grup.

Di lingkungan hibrid, kebijakan grup yang dikonfigurasi di lingkungan AD DS lokal tidak disinkronkan ke Layanan Domain. Untuk menentukan pengaturan konfigurasi untuk pengguna atau komputer di Domain Services, edit salah satu GPO default atau buat GPO kustom.

Artikel ini memperlihatkan kepada Anda cara memasang alat Manajemen Kebijakan Grup, lalu mengedit GPO bawaan dan membuat GPO kustom.

Jika Anda tertarik dengan strategi manajemen server, termasuk komputer di Azure dan hibrida yang tersambung, sebaiknya membaca tentang fitur konfigurasi tamu Azure Policy.

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

Langganan Azure aktif.
- Jika Anda tidak memiliki langganan Azure, buat akun.
Penyewa Microsoft Entra yang terkait dengan langganan Anda, baik disinkronkan dengan direktori lokal atau direktori khusus cloud.
- Jika diperlukan, buat penyewa Microsoft Entra atau kaitkan langganan Azure dengan akun Anda.
Domain terkelola Microsoft Entra Domain Services diaktifkan dan dikonfigurasi di penyewa Microsoft Entra Anda.
- Jika diperlukan, selesaikan tutorial untuk membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services.
VM manajemen Windows Server yang bergabung ke domain terkelola Domain Services.
- Jika diperlukan, selesaikan tutorial untuk membuat komputer virtual Windows Server dan gabungkan dengan domain terkelola.
Akun pengguna yang merupakan anggota grup Administrator AAD DC di penyewa Microsoft Entra Anda.

Catatan

Anda bisa menggunakan Templat Administratif Kebijakan Grup dengan menyalin templat baru ke stasiun kerja manajemen. Salin file .admx ke %SYSTEMROOT%\PolicyDefinitions dan salin file locale-specific .adml ke %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], di mana Language-CountryRegion cocok dengan bahasa dan wilayah file .adml.

Misalnya, salin file .adml versi Bahasa Inggris Amerika Serikat ke dalam folder \en-us.

Menginstal alat Manajemen Kebijakan Grup

Untuk membuat dan mengonfigurasi Objek Kebijakan Grup (GPO), Anda perlu memasang alat Manajemen Kebijakan Grup. Alat-alat ini dapat dipasang sebagai fitur di Windows Server. Untuk informasi selengkapnya tentang cara memasang alat administratif pada klien Windows, lihat cara memasang Alat Administrasi Server Jarak Jauh (RSAT).

Masuk ke komputer virtual pengelolaan Anda. Untuk langkah-langkah tentang cara menyambungkan menggunakan pusat admin Microsoft Entra, lihat Koneksi ke VM Windows Server.
Manajer Server harus terbuka secara default saat Anda masuk ke komputer virtual. Jika tidak, pada menu Mulai, pilih Manajer Server.
Di panel Dasbor jendela Manajer Server, pilih Tambahkan Peran dan Fitur.
Pada halaman Sebelum Anda Memulai di Wizard Tambahkan Peran dan Fitur, pilih Berikutnya.
Untuk Jenis Penginstalan, biarkan opsi Penginstalan berbasis peran atau berbasis fitur tetap dicentang dan pilih Berikutnya.
Pada halaman Pemilihan Server, pilih VM saat ini dari kluster server, seperti myvm.aaddscontoso.com, lalu pilih Berikutnya.
Pada halaman Peran Server, klik Berikutnya.
Pada halaman Fitur, pilih fitur Manajemen Kebijakan Grup.
Pada halaman Konfirmasi, pilih Instal. Mungkin perlu waktu satu atau dua menit untuk memasang alat Manajemen Kebijakan Grup.
Saat penginstalan fitur selesai, pilih Tutup untuk keluar dari wizard Tambahkan Peran dan Fitur.

Buka Konsol Manajemen Kebijakan Grup dan edit objek

Objek kebijakan grup (GPO) default ada untuk pengguna dan komputer di domain terkelola. Dengan fitur Manajemen Kebijakan Grup yang terpasang dari bagian sebelumnya, mari kita lihat dan edit GPO yang sudah ada. Di bagian berikutnya, Anda membuat GPO kustom.

Catatan

Untuk mengelola Kebijakan Grup di domain terkelola, Anda harus masuk ke akun pengguna yang merupakan anggota grup Administrator AAD DC.

Dari layar Mulai, pilih Alat Administratif. Daftar alat manajemen yang tersedia ditampilkan, termasuk Manajemen Kebijakan Grup yang dipasang di bagian sebelumnya.
Untuk membuka Konsol Manajemen Kebijakan Grup (GPMC), pilih Manajemen Kebijakan Grup.

Ada dua Objek Kebijakan Grup (GPO) bawaan dalam domain terkelola - satu untuk kontainer Komputer AADDC, dan satu untuk kontainer Pengguna AADDC. Anda dapat menyesuaikan GPO ini untuk mengonfigurasi kebijakan grup sesuai kebutuhan dalam domain terkelola Anda.

Di konsol Manajemen Kebijakan Grup, perluas simpul Forest: aaddscontoso.com. Selanjutnya, perluas simpul Domains.

Ada dua kontainer bawaan untuk Komputer AADDC dan Pengguna AADDC. Masing-masing kontainer ini memiliki GPO default yang diterapkan pada mereka.
GPO bawaan ini dapat dikustomisasi untuk mengonfigurasi kebijakan grup tertentu pada domain terkelola Anda. Klik kanan salah satu GPO, seperti GPO Komputer AADDC, lalu pilih Edit....
Alat Editor Manajemen Kebijakan Grup terbuka untuk memungkinkan Anda mengustomisasi GPO, seperti Kebijakan Akun:

Setelah selesai, pilih File > Simpan untuk menyimpan kebijakan. Komputer menyegarkan Kebijakan Grup secara default setiap 90 menit dan menerapkan perubahan yang Anda buat.

Membuat Objek Kebijakan Grup kustom

Untuk mengelompokkan pengaturan kebijakan yang serupa, Anda sering membuat GPO tambahan alih-alih menerapkan semua pengaturan yang diperlukan dalam GPO default tunggal. Dengan Layanan Domain, Anda dapat membuat atau mengimpor objek kebijakan grup kustom Anda sendiri dan menautkannya ke unit organisasi kustom. Jika Anda perlu terlebih dahulu membuat unit organisasi kustom, lihat membuat unit organisasi kustom di domain terkelola.

Di konsol Manajemen Kebijakan Grup, pilih unit organisasi kustom (OU), seperti MyCustomOU. Klik kanan unit organisasi dan pilih Buat GPO di domain ini, dan Tautkan di sini...:
Tentukan nama untuk GPO baru, seperti GPO kustom saya, lalu pilih OK. Anda dapat secara opsional mendasarkan GPO kustom ini pada GPO yang ada dan set opsi kebijakan.
GPO kustom dibuat dan ditautkan ke unit organisasi kustom Anda. Untuk mengonfigurasi pengaturan kebijakan sekarang, klik kanan GPO kustom dan pilih Edit...:
Editor Manajemen Kebijakan Grup terbuka untuk memungkinkan Anda mengustomisasi GPO:

Setelah selesai, pilih File > Simpan untuk menyimpan kebijakan. Komputer menyegarkan Kebijakan Grup secara default setiap 90 menit dan menerapkan perubahan yang Anda buat.