Amministrazione ister Criteri di gruppo in un dominio gestito di Microsoft Entra Domain Services

Procedure
10/19/2023

Impostazioni per gli oggetti utente e computer in Servizi di dominio Microsoft Entra vengono spesso gestiti tramite oggetti Criteri di gruppo. Servizi di dominio include oggetti Criteri di gruppo predefiniti per i contenitori AADDC Users e AADDC Computers . È possibile personalizzare questi oggetti Criteri di gruppo predefiniti per configurare Criteri di gruppo in base alle esigenze specifiche dell'ambiente. I membri del gruppo AAD DC Amministrazione istrators dispongono dei privilegi di amministrazione di Criteri di gruppo nel dominio di Servizi di dominio e possono anche creare oggetti Criteri di gruppo e unità organizzative personalizzate. Per altre informazioni su Criteri di gruppo e sul relativo funzionamento, vedere Panoramica di Criteri di gruppo.

In un ambiente ibrido i criteri di gruppo configurati in un ambiente di Active Directory Domain Services locale non vengono sincronizzati con Servizi di dominio. Per definire le impostazioni di configurazione per utenti o computer in Servizi di dominio, modificare uno degli oggetti Criteri di gruppo predefiniti o creare un oggetto Criteri di gruppo personalizzato.

Questo articolo illustra come installare gli strumenti di Gestione Criteri di gruppo, quindi modificare gli oggetti Criteri di gruppo predefiniti e creare oggetti Criteri di gruppo personalizzati.

Se si è interessati alla strategia di gestione dei server, inclusi i computer in Azure e la connessione ibrida, è consigliabile leggere la funzionalità di configurazione guest di Criteri di Azure.

Prerequisiti

Per completare le procedure descritte in questo articolo, sono necessari i privilegi e le risorse seguenti:

Una sottoscrizione di Azure attiva.
- Se non si ha una sottoscrizione di Azure, creare un account.
Un tenant di Microsoft Entra associato alla sottoscrizione, sincronizzato con una directory locale o una directory solo cloud.
- Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure all'account.
Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
- Se necessario, completare l'esercitazione per creare e configurare un dominio gestito di Microsoft Entra Domain Services.
Macchina virtuale di gestione di Windows Server aggiunta al dominio gestito di Servizi di dominio.
- Se necessario, completare l'esercitazione per creare una macchina virtuale Windows Server e aggiungerla a un dominio gestito.
Un account utente membro del gruppo AAD DC Amministrazione istrators nel tenant di Microsoft Entra.

Nota

È possibile usare Criteri di gruppo Amministrazione modellistrativi copiando i nuovi modelli nella workstation di gestione. Copiare i file con estensione admx in %SYSTEMROOT%\PolicyDefinitions e copiare i file con estensione adml specifici delle impostazioni locali in %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], dove Language-CountryRegion corrisponde alla lingua e all'area dei file con estensione adml.

Ad esempio, copiare l'inglese Stati Uniti versione dei file con estensione adml nella \en-us cartella .

Installare gli strumenti di gestione criteri di gruppo

Per creare e configurare l'oggetto Criteri di gruppo, è necessario installare gli strumenti di Gestione Criteri di gruppo. Questi strumenti possono essere installati come funzionalità in Windows Server. Per altre informazioni su come installare gli strumenti di amministrazione in un client Windows, vedere Installare Remote Server Amministrazione istration Tools (RSAT).

Accedere alla macchina virtuale di gestione. Per informazioni su come connettersi tramite l'interfaccia di amministrazione di Microsoft Entra, vedere Connessione a una macchina virtuale Windows Server.
Quando si accede alla macchina virtuale, per impostazione predefinita dovrebbe essere visualizzata la finestra di Server Manager. In caso contrario, scegliere Server Manager dal menu Start.
Fare clic su Aggiungi ruoli e funzionalità nel riquadro Dashboard della finestra Server Manager.
Nella pagina Prima di iniziare dell'aggiunta guidata ruoli e funzionalità selezionare Avanti.
Per Tipo di installazione lasciare selezionata l'opzione Installazione basata su ruoli o basata su funzionalità e selezionare Avanti.
Nella pagina Selezione server scegliere la macchina virtuale corrente dal pool di server, ad esempio myvm.aaddscontoso.com e quindi selezionare Avanti.
Nella pagina Ruoli del server fare clic su Avanti.
Nella pagina Funzionalità, selezionare Gestione Criteri di gruppo.
Nella pagina Conferma selezionare Installa. L'installazione degli strumenti di Gestione Criteri di gruppo può richiedere un minuto o due.
Dopo aver completato correttamente l'installazione della funzionalità, selezionare Chiudi per uscire dall'Aggiunta guidata ruoli e funzionalità.

Aprire la Console Gestione Criteri di gruppo e modificare un oggetto

Gli oggetti Criteri di gruppo predefiniti esistono per utenti e computer in un dominio gestito. Con la funzionalità Gestione Criteri di gruppo installata nella sezione precedente, è possibile visualizzare e modificare un oggetto Criteri di gruppo esistente. Nella sezione successiva viene creato un oggetto Criteri di gruppo personalizzato.

Nota

Per amministrare Criteri di gruppo in un dominio gestito, è necessario accedere a un account utente membro del gruppo di Amministrazione istrator di AAD DC.

Nella schermata Start selezionare strumenti Amministrazione istrative. Viene visualizzato un elenco degli strumenti di gestione disponibili, incluso Gestione Criteri di gruppo installato nella sezione precedente.
Per aprire la Console Gestione Criteri di gruppo, scegliere Gestione Criteri di gruppo.

Esistono due oggetti Criteri di gruppo predefiniti in un dominio gestito, uno per il contenitore AADDC Computers e uno per il contenitore AADDC Users . È possibile personalizzare questi oggetti Criteri di gruppo per configurare i criteri di gruppo in base alle esigenze all'interno del dominio gestito.

Nella console Gestione Criteri di gruppo espandere il nodo Foresta: aaddscontoso.com. Espandere quindi i nodi Domini .

Esistono due contenitori predefiniti per computer AADDC e utenti AADDC. A ognuno di questi contenitori è applicato un oggetto Criteri di gruppo predefinito.
Questi oggetti Criteri di gruppo predefiniti possono essere personalizzati per configurare criteri di gruppo specifici nel dominio gestito. Selezionare uno degli oggetti Criteri di gruppo, ad esempio L'oggetto Criteri di gruppo AADDC Computers (Computer AADDC), quindi scegliere Modifica....
Si apre lo strumento Editor Gestione Criteri di gruppo per personalizzare l'oggetto Criteri di gruppo, ad esempio Criteri di gruppo:

Al termine, scegliere Salva file > per salvare i criteri. I computer aggiornano Criteri di gruppo per impostazione predefinita ogni 90 minuti e applicano le modifiche apportate.

Creare un oggetto Criteri di gruppo personalizzato

Per raggruppare impostazioni di criteri simili, spesso si creano oggetti Criteri di gruppo aggiuntivi invece di applicare tutte le impostazioni necessarie nel singolo oggetto Criteri di gruppo predefinito. Con Servizi di dominio è possibile creare o importare oggetti criteri di gruppo personalizzati e collegarli a un'unità organizzativa personalizzata. Se è prima necessario creare un'unità organizzativa personalizzata, vedere Creare un'unità organizzativa personalizzata in un dominio gestito.

Nella console Gestione Criteri di gruppo selezionare l'unità organizzativa personalizzata, ad esempio MyCustomOU. Selezionare con il pulsante destro del computer l'unità organizzativa e scegliere Crea un oggetto Criteri di gruppo in questo dominio e collegarlo qui:
Specificare un nome per il nuovo oggetto Criteri di gruppo, ad esempio Oggetto Criteri di gruppo personalizzato, quindi selezionare OK. Facoltativamente, è possibile basare questo oggetto Criteri di gruppo personalizzato su un oggetto Criteri di gruppo esistente e su un set di opzioni di criteri.
L'oggetto Criteri di gruppo personalizzato viene creato e collegato all'unità organizzativa personalizzata. Per configurare ora le impostazioni dei criteri, selezionare l'oggetto Criteri di gruppo personalizzato e scegliere Modifica...:
Si apre l'Editor Gestione Criteri di gruppo per personalizzare l'oggetto Criteri di gruppo:

Al termine, scegliere Salva file > per salvare i criteri. I computer aggiornano Criteri di gruppo per impostazione predefinita ogni 90 minuti e applicano le modifiche apportate.