編集

次の方法で共有

Microsoft Entra Domain Services のマネージド ドメインでグループ ポリシーを管理する

  • 操作方法

Microsoft Entra Domain Services のユーザー オブジェクトとコンピューター オブジェクトの設定は、多くの場合、グループ ポリシー オブジェクト (GPO) を使用して管理されます。 Domain Services には、AADDC UsersAADDC Computers のコンテナー用の組み込みの GPO が用意されています。 これらの組み込みの GPO をカスタマイズして、環境のニーズに合わせてグループ ポリシーを構成できます。 "AAD DC 管理者" グループのメンバーは、Domain Services ドメイン内でグループ ポリシー管理特権を持っています。また、カスタムの GPO と組織単位 (OU) を作成することもできます。 グループ ポリシーとそのしくみの詳細については、「グループ ポリシーの概要」を参照してください。

ハイブリッド環境では、オンプレミスの AD DS 環境内で構成されているグループ ポリシーは、Domain Services に同期されません。 Domain Services のユーザーまたはコンピューターの構成設定を定義するには、既定のいずれかの GPO を編集するか、カスタム GPO を作成します。

この記事では、グループ ポリシーの管理ツールをインストールし、組み込みの GPO を編集して、カスタム GPO を作成する方法について説明します。

Azure やハイブリッド接続のマシンを含む、サーバー管理戦略に関心がある場合は、Azure Policyゲスト構成機能を確認することを検討してください。

前提条件

この記事を完了するには、以下のリソースと特権が必要です。

Note

グループ ポリシー管理用テンプレートを使用するには、新しいテンプレートを管理ワークステーションにコピーします。 .admx ファイルを %SYSTEMROOT%\PolicyDefinitions にコピーし、ロケール固有の .adml ファイルを %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion] にコピーします。この Language-CountryRegion.adml の言語とリージョンに一致します。

たとえば、英国、米国バージョンの .adml ファイルを \en-us フォルダーにコピーします。

グループ ポリシーの管理ツールをインストールする

グループ ポリシー オブジェクト (GPO) を作成して構成するには、グループ ポリシーの管理ツールをインストールする必要があります。 これらのツールは、Windows Server の機能としてインストールできます。 Windows クライアントに管理ツールをインストールする方法の詳細については、リモート サーバー管理ツール (RSAT) のインストールに関するページを参照してください。

  1. 管理 VM にサインインします。 Microsoft Entra 管理センターを使用して接続する方法については、「Windows Server VM に接続する」を参照してください。

  2. VM にサインインすると、既定でサーバー マネージャーが表示されるはずです。 そうならない場合は、[スタート] メニューの [サーバー マネージャー] を選択します。

  3. [サーバー マネージャー] ウィンドウの [ダッシュボード] ウィンドウで [役割と機能の追加] を選択します。

  4. [役割と機能の追加] ウィザードの [開始する前に] ページで [次へ] を選択します。

  5. [インストールの種類] で、[役割ベースまたは機能ベースのインストール] オプションが選択された状態にして [次へ] を選択します。

  6. [サーバーの選択] ページで、サーバー プールから現在の VM (例: myvm.aaddscontoso.com) を選択し、[次へ] を選択します。

  7. [サーバーの役割] ページで、[次へ] をクリックします。

  8. [機能] ページで、[グループ ポリシー管理] 機能を選択します。

    [機能] ページから

  9. [確認] ページで [インストール] を選択します。 グループ ポリシーの管理ツールのインストールには、1、2 分かかることがあります。

  10. 機能のインストールが完了したら、[閉じる] を選択して [役割と機能の追加] ウィザードを終了します。

グループ ポリシー管理コンソールを開いてオブジェクトを編集する

既定のグループ ポリシー オブジェクト (GPO) は、マネージド ドメイン内のユーザーおよびコンピューター用に存在します。 前のセクションでインストールしたグループ ポリシーの管理機能を使用して、既存の GPO を表示および編集します。 次のセクションでは、カスタム GPO を作成します。

Note

マネージド ドメインでグループ ポリシーを管理するには、"AAD DC 管理者" グループのメンバーであるユーザー アカウントにサインインする必要があります。

  1. スタート画面で [管理ツール] を選択します。 使用できる管理ツールの一覧が表示されます。これには、前のセクションでインストールしたグループ ポリシーの管理が含まれます。

  2. グループ ポリシー管理コンソール (GPMC) を開くには、[グループ ポリシーの管理] を選択します。

    グループ ポリシー管理コンソールが開き、グループ ポリシー オブジェクトを編集できる状態になります

マネージド ドメインには、AADDC Computers コンテナー用と AADDC Users コンテナー用の 2 つの組み込みのグループ ポリシー オブジェクト (GPO) があります。 これらの GPO をカスタマイズして、マネージド ドメイン内で必要に応じてグループ ポリシーを構成することができます。

  1. グループ ポリシー管理コンソールで、[フォレスト: aaddscontoso.com] ノードを展開します。 次に、[ドメイン] ノードを展開します。

    AADDC ComputersAADDC Users には、2 つの組み込みのコンテナーがあります。 これらの各コンテナーには、既定の GPO が適用されています。

    既定の

  2. これらの組み込みの GPO は、マネージド ドメイン上で特定のグループ ポリシーを構成するようにカスタマイズできます。 AADDC Computers GPO など、いずれかの GPO を右クリックし、[編集] を選択します。

    組み込みの GPO のいずれかを

  3. グループ ポリシー管理エディター ツールが開き、[アカウント ポリシー] などの GPO をカスタマイズできるようになります。

    グループ ポリシー管理エディターのスクリーンショット。

    完了したら、[ファイル] > [保存] を選択してポリシーを保存します。 コンピューターの既定では、90 分ごとにグループ ポリシーが更新され、加えた変更が適用されます。

カスタム グループ ポリシー オブジェクトを作成する

同様のポリシー設定をグループ化するには、多くの場合、必要なすべての設定を 1 つの既定の GPO で適用するのではなく、追加の GPO を作成します。 Domain Services を使用すると、カスタム グループ ポリシー オブジェクトを作成またはインポートしてカスタム OU にリンクすることができます。 まずカスタム OU を作成する必要がある場合は、マネージド ドメインでのカスタム OU の作成に関する記事を参照してください。

  1. グループ ポリシー管理コンソールで、MyCustomOU などのカスタム組織単位 (OU) を選択します。 OU を右クリックし、[このドメインに GPO を作成し、このコンテナーにリンクする] を選択します。

    グループ ポリシー管理コンソールでカスタム GPO を作成する

  2. 新しい GPO の名前 (「My custom GPO」など) を指定し、[OK] を選択します。 必要に応じて、既存の GPO と一連のポリシー オプションに基づいてこのカスタム GPO を作成することもできます。

    新しいカスタム GPO の名前を指定します

  3. カスタム GPO が作成され、カスタム OU にリンクされます。 ポリシー設定を構成するには、カスタム GPO を右クリックし、[編集] を選択します。

    カスタム GPO を

  4. グループ ポリシー管理エディターが開き、GPO をカスタマイズできるようになります。

    必要に応じて設定を構成する GPO をカスタマイズする

    完了したら、[ファイル] > [保存] を選択してポリシーを保存します。 コンピューターの既定では、90 分ごとにグループ ポリシーが更新され、加えた変更が適用されます。

関連するコンテンツ