Beheer ister Groepsbeleid in een door Microsoft Entra Domain Services beheerd domein

Uitleg
10/19/2023

Instellingen voor gebruikers- en computerobjecten in Microsoft Entra Domain Services worden vaak beheerd met groepsbeleidsobjecten (GPO's). Domain Services bevat ingebouwde GPO's voor de AADDC-gebruikers en AADDC-computerscontainers . U kunt deze ingebouwde GPO's aanpassen om groepsbeleid voor uw omgeving te configureren, indien gewenst. Leden van de groep AAD DC Beheer istrators hebben bevoegdheden voor groepsbeleidsbeheer in het domein Domain Services en kunnen ook aangepaste GPO's en organisatie-eenheden (OE's) maken. Zie het overzicht van Groepsbeleid voor meer informatie over wat Groepsbeleid is en hoe het werkt.

In een hybride omgeving worden groepsbeleidsregels die zijn geconfigureerd in een on-premises AD DS-omgeving, niet gesynchroniseerd met Domain Services. Als u configuratie-instellingen wilt definiëren voor gebruikers of computers in Domain Services, bewerkt u een van de standaard groepsbeleidsobjecten of maakt u een aangepast groepsbeleidsobject.

In dit artikel leest u hoe u de hulpprogramma's voor groepsbeleidsbeheer installeert en vervolgens de ingebouwde GPO's bewerkt en aangepaste groepsbeleidsobjecten maakt.

Als u geïnteresseerd bent in serverbeheerstrategie, inclusief machines in Azure en hybride verbonden, kunt u overwegen om te lezen over de functie voor gastconfiguratie van Azure Policy.

Vereisten

U hebt de volgende resources en bevoegdheden nodig om dit artikel te voltooien:

Een actief Azure-abonnement.
- Als u nog geen Azure-abonnement hebt, maakt u een account.
Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met een on-premises directory of een cloudmap.
- Maak indien nodig een Microsoft Entra-tenant of koppel een Azure-abonnement aan uw account.
Een door Microsoft Entra Domain Services beheerd domein ingeschakeld en geconfigureerd in uw Microsoft Entra-tenant.
- Voltooi zo nodig de zelfstudie voor het maken en configureren van een door Microsoft Entra Domain Services beheerd domein.
Een Windows Server-beheer-VM die is gekoppeld aan het beheerde domein Domain Services.
- Voltooi indien nodig de zelfstudie voor het maken van een Virtuele Windows Server-machine en voeg deze toe aan een beheerd domein.
Een gebruikersaccount dat lid is van de groep AAD DC Beheer istrators in uw Microsoft Entra-tenant.

Notitie

U kunt Groepsbeleid Beheer istratieve sjablonen gebruiken door de nieuwe sjablonen naar het beheerwerkstation te kopiëren. Kopieer de .admx-bestanden naar %SYSTEMROOT%\PolicyDefinitions en kopieer de landinstellingenspecifieke .adml-bestanden naar %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], waarbij deze Language-CountryRegion overeenkomt met de taal en regio van de .adml-bestanden .

Kopieer bijvoorbeeld het Engels Verenigde Staten versie van de .adml-bestanden naar de \en-us map.

Hulpprogramma's voor groepsbeleidsbeheer installeren

Als u Groepsbeleidsobject (GPO's) wilt maken en configureren, moet u de hulpprogramma's voor groepsbeleidsbeheer installeren. Deze hulpprogramma's kunnen worden geïnstalleerd als een functie in Windows Server. Zie Remote Server Beheer istration Tools (RSAT) installeren voor meer informatie over het installeren van de beheerhulpprogramma's op een Windows-client.

Meld u aan bij uw beheer-VM. Zie Verbinding maken met een Windows Server-VM voor stappen voor het maken van verbinding met het Microsoft Entra-beheercentrum.
Serverbeheer moet standaard worden geopend wanneer u zich aanmeldt bij de virtuele machine. Als dat niet het gaat, selecteert u Serverbeheer in het menu Start.
Selecteer in het deelvenster Dashboard van het venster Serverbeheer de optie Functies en onderdelen toevoegen.
Selecteer op de pagina Voordat u begint van de wizard Functies en onderdelen toevoegenVolgende.
Voor het installatietype moet u de optie van het selectievakje Installatie die op de functie of het onderdeel is gebaseerd ingeschakeld laten en Volgende selecteren.
Kies op de pagina Selectie van servers de huidige VM uit de servergroep, zoals myvm.aaddscontoso.com, en selecteer vervolgens Volgende.
Klik op de pagina Serverfuncties op Volgende.
Selecteer op de pagina Functies de functie Groepsbeleidsbeheer .
Selecteer op de pagina BevestigingInstalleren. Het kan enkele minuten duren voordat de hulpprogramma's voor groepsbeleidsbeheer zijn geïnstalleerd.
Wanneer de installatie van de functie is voltooid, selecteert u Sluiten om de wizard Functies en onderdelen toevoegen af te sluiten.

Open de console Groepsbeleidsbeheer en bewerk een object

Standaard groepsbeleidsobjecten (GPO's) bestaan voor gebruikers en computers in een beheerd domein. Nu de functie Groepsbeleidsbeheer is geïnstalleerd uit de vorige sectie, gaan we een bestaand groepsbeleidsobject bekijken en bewerken. In de volgende sectie maakt u een aangepast groepsbeleidsobject.

Notitie

Als u groepsbeleid wilt beheren in een beheerd domein, moet u zijn aangemeld bij een gebruikersaccount dat lid is van de AAD DC-groep Beheer istrators.

Selecteer in het startscherm Beheer istratieve hulpmiddelen. Er wordt een lijst met beschikbare beheerprogramma's weergegeven, waaronder Groepsbeleidsbeheer dat in de vorige sectie is geïnstalleerd.
Als u de console Groepsbeleidsbeheer (GPMC) wilt openen, kiest u Groepsbeleidsbeheer.

Er zijn twee ingebouwde groepsbeleidsobjecten (GPO's) in een beheerd domein: één voor de AADDC Computers-container en een voor de AADDC-gebruikerscontainer . U kunt deze GPO's aanpassen om groepsbeleid zo nodig te configureren binnen uw beheerde domein.

Vouw in de console Groepsbeleidsbeheer het forest uit: aaddscontoso.com knooppunt. Vouw vervolgens de knooppunten Domeinen uit.

Er bestaan twee ingebouwde containers voor AADDC-computers en AADDC-gebruikers. Voor elk van deze containers is een standaard groepsbeleidsobject toegepast.
Deze ingebouwde GPO's kunnen worden aangepast om specifieke groepsbeleidsregels voor uw beheerde domein te configureren. Selecteer met de rechtermuisknop een van de groepsbeleidsobjecten, zoals groepsbeleidsobject voor AADDC-computers en kies Bewerken....
Het hulpprogramma Editor voor groepsbeleidsbeheer wordt geopend om het groepsbeleidsobject aan te passen, zoals accountbeleid:

Wanneer u klaar bent, kiest u Bestand > opslaan om het beleid op te slaan. Computers vernieuwen groepsbeleid standaard elke 90 minuten en pas de wijzigingen toe die u hebt aangebracht.

Een aangepast groepsbeleidsobject maken

Als u vergelijkbare beleidsinstellingen wilt groeperen, maakt u vaak extra GPO's in plaats van alle vereiste instellingen toe te passen in het ene standaard groepsbeleidsobject. Met Domain Services kunt u uw eigen aangepaste groepsbeleidsobjecten maken of importeren en deze koppelen aan een aangepaste organisatie-eenheid. Als u eerst een aangepaste organisatie-eenheid wilt maken, raadpleegt u een aangepaste organisatie-eenheid maken in een beheerd domein.

Selecteer in de console Groepsbeleidsbeheer uw aangepaste organisatie-eenheid (OE), zoals MyCustomOU. Selecteer met de rechtermuisknop de organisatie-eenheid en kies Een groepsbeleidsobject maken in dit domein en koppel deze hier...:
Geef een naam op voor het nieuwe groepsbeleidsobject, zoals Mijn aangepaste groepsbeleidsobject en selecteer VERVOLGENS OK. U kunt dit aangepaste groepsbeleidsobject desgewenst baseren op een bestaand groepsbeleidsobject en een set beleidsopties.
Het aangepaste groepsbeleidsobject wordt gemaakt en gekoppeld aan uw aangepaste organisatie-eenheid. Als u nu de beleidsinstellingen wilt configureren, selecteert u met de rechtermuisknop het aangepaste groepsbeleidsobject en kiest u Bewerken...:
De Editor voor groepsbeleidsbeheer wordt geopend om u het groepsbeleidsobject aan te passen:

Wanneer u klaar bent, kiest u Bestand > opslaan om het beleid op te slaan. Computers vernieuwen groepsbeleid standaard elke 90 minuten en pas de wijzigingen toe die u hebt aangebracht.