Administrowanie zasadami grupy w domenie zarządzanej usług Microsoft Entra Domain Services

Ustawienia obiektów użytkowników i komputerów w Microsoft Entra Domain Services są często zarządzane przy użyciu obiektów zasady grupy (GPO). Usługi Domain Services obejmują wbudowane obiekty zasad grupy dla kontenerów AADDC Users i AADDC Computers . Możesz dostosować te wbudowane obiekty zasad grupy, aby skonfigurować zasady grupy zgodnie z wymaganiami swojego środowiska. Członkowie grupy Administratorzy kontrolera domeny usługi AAD mają uprawnienia administracyjne zasad grupy w domenie usług domenowych, a także mogą tworzyć niestandardowe obiekty zasad grupy i jednostki organizacyjne . Aby uzyskać więcej informacji na temat zasad grupy i sposobu jej działania, zobacz Omówienie zasad grupy.

W środowisku hybrydowym zasady grupy skonfigurowane w lokalnym środowisku usług AD DS nie są synchronizowane z usługami Domain Services. Aby zdefiniować ustawienia konfiguracji dla użytkowników lub komputerów w usługach domenowych, edytuj jeden z domyślnych obiektów zasad grupy lub utwórz niestandardowy obiekt zasad grupy.

W tym artykule przedstawiono sposób instalowania narzędzi do zarządzania zasadami grupy, a następnie edytowania wbudowanych obiektów zasad grupy i tworzenia niestandardowych obiektów zasad grupy. Zalecamy tworzenie kopii zapasowych obiektów zasad grupy po wprowadzeniu w nich zmian. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowych i przywracania obiektów zasad grupy, zobacz Tworzenie kopii zapasowej, przywracanie, migrowanie i kopiowanie obiektów zasad grupy.

Jeśli interesuje Cię strategia zarządzania serwerem, w tym maszyny na platformie Azure i połączenie hybrydowe, rozważ zapoznanie się z funkcją konfiguracji gościausługi Azure Policy.

Wymagania wstępne

Do ukończenia tego artykułu potrzebne są następujące zasoby i uprawnienia:

• Aktywna subskrypcja platformy Azure.
  • Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
• Tenant Microsoft Entra skojarzony z twoją subskrypcją, zsynchronizowany z lokalnym katalogiem lub katalogiem wyłącznie w chmurze.
  • W razie potrzeby utwórz tenant w Microsoft Entra lub skojarz subskrypcję platformy Azure z twoim kontem.
• Domena zarządzana w usłudze Microsoft Entra Domain Services została włączona i skonfigurowana w Twojej dzierżawie Microsoft Entra.
  • W razie potrzeby ukończ samouczek, aby utworzyć i skonfigurować domenę zarządzaną usług Microsoft Entra Domain Services.
• Maszyna wirtualna do zarządzania Windows Server, przyłączona do domeny zarządzanej przez usługi domenowe.
  • W razie potrzeby ukończ samouczek, aby utworzyć maszynę wirtualną z systemem Windows Server i dołączyć ją do domeny zarządzanej.
• Konto użytkownika będące członkiem grupy Administratorzy kontrolera domeny usługi AAD w dzierżawie firmy Microsoft Entra.

Uwaga / Notatka

Szablony administracyjne zasad grupy można używać, kopiując nowe szablony na stację roboczą zarządzania. Skopiuj pliki admx do %SYSTEMROOT%\PolicyDefinitions pliku i skopiuj pliki adml specyficzne dla ustawień regionalnych do %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], gdzie Language-CountryRegion są zgodne z językiem i regionem plików adml .

Na przykład skopiuj do folderu angielską, stany Zjednoczone wersję plików \en-us.

Instalowanie narzędzi do zarządzania zasadami grupy

Aby utworzyć i skonfigurować obiekt zasad grupy (GPO), należy zainstalować narzędzia do zarządzania zasadami grupy. Te narzędzia można zainstalować jako funkcję w systemie Windows Server. Aby uzyskać więcej informacji na temat sposobu instalowania narzędzi administracyjnych na kliencie systemu Windows, zobacz instalowanie narzędzia administracji zdalnej serwera (RSAT).

1. Zaloguj się do maszyny wirtualnej zarządzania. Aby uzyskać instrukcje dotyczące nawiązywania połączenia przy użyciu centrum administracyjnego firmy Microsoft Entra, zobacz Connect to a Windows Server VM.

2. Menedżer serwera powinien być domyślnie otwarty podczas logowania się do maszyny wirtualnej. Jeśli nie, w menu Start wybierz pozycję Menedżer serwera.

3. W okienku pulpitu nawigacyjnego okna Menedżera serwera wybierz pozycję Dodaj role i funkcje.

4. Na stronie Przed rozpoczęciem w kreatorze Dodawanie ról i funkcjiwybierz opcję Dalej.

5. W przypadku Typ instalacji, pozostaw zaznaczoną opcję instalacji opartej na rolach lub funkcjach i wybierz Dalej.

6. Na stronie wyboru serwera wybierz bieżącą maszynę wirtualną z puli serwerów, taką jak myvm.aaddscontoso.com, a następnie wybierz pozycję Dalej.

7. Na stronie Role serwera kliknij Dalej.

8. Na stronie Funkcje wybierz funkcję Zarządzanie zasadami grupy .

   

9. Na stronie potwierdzenia wybierz pozycję Zainstaluj. Zainstalowanie narzędzi do zarządzania zasadami grupy może potrwać minutę lub dwie.

10. Po zakończeniu instalacji funkcji wybierz pozycję Zamknij, aby wyjść z kreatora Dodaj role i funkcje.

Otwórz konsolę zarządzania zasadami grupy i edytuj obiekt

Domyślne obiekty zasad grupy (GPO) istnieją dla użytkowników i komputerów w domenie zarządzanej. Po zainstalowaniu funkcji zarządzania zasadami grupy z poprzedniej sekcji wyświetlmy i zmodyfikujmy istniejący obiekt zasad grupy. W następnej sekcji utworzysz niestandardowy obiekt zasad grupy.

Uwaga / Notatka

Aby administrować zasadami grupy w domenie zarządzanej, musisz zalogować się do konta użytkownika, które jest członkiem grupy administratorzy kontrolera domeny usługi AAD .

1. Na ekranie startowym wybierz pozycję Narzędzia administracyjne. Zostanie wyświetlona lista dostępnych narzędzi do zarządzania, w tym zarządzanie zasadami grupy zainstalowanymi w poprzedniej sekcji.

2. Aby otworzyć konsolę zarządzania zasadami grupy (GPMC), wybierz pozycję Zarządzanie zasadami grupy.

   

Istnieją dwa wbudowane obiekty zasad grupy (GPO) w domenie zarządzanej — jeden dla kontenera AADDC Computers i jeden dla kontenera AADDC Users . Możesz dostosować te obiekty zasad grupy, aby skonfigurować zasady grupy zgodnie z potrzebami w domenie zarządzanej.

1. W konsoli zarządzania zasadami grupy rozwiń węzeł Las: aaddscontoso.com . Następnie rozwiń węzły Domeny .

   Istnieją dwa wbudowane kontenery dla komputerów AADDC i użytkowników AADDC. Każdy z tych kontenerów ma do nich domyślny obiekt zasad grupy.

   

2. Te wbudowane obiekty zasad grupy można dostosować, aby skonfigurować określone zasady grupy w domenie zarządzanej. Wybierz prawym przyciskiem jedną z obiektów zasad grupy, na przykład AADDC Komputery obiektu zasad grupy, a następnie wybierz polecenie Edytuj....

   

3. Zostanie otwarte narzędzie Edytor zarządzania zasadami grupy, aby umożliwić dostosowanie obiektu zasad grupy, takich jak zasady konta:

   

   Po zakończeniu wybierz pozycję Plik > Zapisz , aby zapisać zasady. Komputery domyślnie odświeżają zasady grupy co 90 minut i stosują wprowadzone zmiany.

Tworzenie niestandardowego obiektu zasad grupy

Aby pogrupować podobne ustawienia zasad, często zamiast stosować wszystkie wymagane ustawienia w jednym domyślnym obiekcie zasad grupy, często są tworzone dodatkowe obiekty zasad grupy. Za pomocą usług Domain Services można utworzyć lub zaimportować własne niestandardowe obiekty zasad grupy i połączyć je z niestandardową jednostki organizacyjnej. Jeśli musisz najpierw utworzyć niestandardową jednostkę organizacyjną, zobacz tworzenie niestandardowej jednostki organizacyjnej w domenie zarządzanej.

1. W konsoli zarządzania zasadami grupy wybierz niestandardową jednostkę organizacyjną (OU), taką jak MyCustomOU. Wybierz prawym przyciskiem jednostki organizacyjnej i wybierz polecenie Utwórz obiekt zasad grupy w tej domenie, a następnie połącz go tutaj...:

   

2. Określ nazwę nowego obiektu zasad grupy, na przykład Mój niestandardowy obiekt zasad grupy, a następnie wybierz przycisk OK. Opcjonalnie można opierać ten niestandardowy obiekt zasad grupy na istniejącym obiekcie zasad grupy i zestaw opcji zasad.

   

3. Niestandardowy obiekt zasad grupy jest tworzony i połączony z niestandardową jednostką organizacyjną. Aby teraz skonfigurować ustawienia zasad, wybierz prawym przyciskiem pozycję niestandardowy obiekt zasad grupy, a następnie wybierz polecenie Edytuj...:

   

4. Zostanie otwarty Edytor zarządzania zasadami grupy, aby umożliwić dostosowanie obiektu zasad grupy:

   

   Po zakończeniu wybierz pozycję Plik > Zapisz , aby zapisać zasady. Komputery domyślnie odświeżają zasady grupy co 90 minut i stosują wprowadzone zmiany.

Powiązana zawartość

• Praca z elementami preferencji zasad grupy

Ustawienia obiektów użytkowników i komputerów w Microsoft Entra Domain Services są często zarządzane przy użyciu obiektów zasady grupy (GPO). Usługi Domain Services obejmują wbudowane obiekty zasad grupy dla kontenerów AADDC Users i AADDC Computers . Możesz dostosować te wbudowane obiekty zasad grupy, aby skonfigurować zasady grupy zgodnie z wymaganiami swojego środowiska. Członkowie grupy Administratorzy kontrolera domeny usługi AAD mają uprawnienia administracyjne zasad grupy w domenie usług domenowych, a także mogą tworzyć niestandardowe obiekty zasad grupy i jednostki organizacyjne . Aby uzyskać więcej informacji na temat zasad grupy i sposobu jej działania, zobacz Omówienie zasad grupy.

W środowisku hybrydowym zasady grupy skonfigurowane w lokalnym środowisku usług AD DS nie są synchronizowane z usługami Domain Services. Aby zdefiniować ustawienia konfiguracji dla użytkowników lub komputerów w usługach domenowych, edytuj jeden z domyślnych obiektów zasad grupy lub utwórz niestandardowy obiekt zasad grupy.

W tym artykule przedstawiono sposób instalowania narzędzi do zarządzania zasadami grupy, a następnie edytowania wbudowanych obiektów zasad grupy i tworzenia niestandardowych obiektów zasad grupy. Zalecamy tworzenie kopii zapasowych obiektów zasad grupy po wprowadzeniu w nich zmian. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowych i przywracania obiektów zasad grupy, zobacz Tworzenie kopii zapasowej, przywracanie, migrowanie i kopiowanie obiektów zasad grupy.

Jeśli interesuje Cię strategia zarządzania serwerem, w tym maszyny na platformie Azure i połączenie hybrydowe, rozważ zapoznanie się z funkcją konfiguracji gościausługi Azure Policy.

Do ukończenia tego artykułu potrzebne są następujące zasoby i uprawnienia:

• Aktywna subskrypcja platformy Azure.
  • Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
• Tenant Microsoft Entra skojarzony z twoją subskrypcją, zsynchronizowany z lokalnym katalogiem lub katalogiem wyłącznie w chmurze.
  • W razie potrzeby utwórz tenant w Microsoft Entra lub skojarz subskrypcję platformy Azure z twoim kontem.
• Domena zarządzana w usłudze Microsoft Entra Domain Services została włączona i skonfigurowana w Twojej dzierżawie Microsoft Entra.
  • W razie potrzeby ukończ samouczek, aby utworzyć i skonfigurować domenę zarządzaną usług Microsoft Entra Domain Services.
• Maszyna wirtualna do zarządzania Windows Server, przyłączona do domeny zarządzanej przez usługi domenowe.
  • W razie potrzeby ukończ samouczek, aby utworzyć maszynę wirtualną z systemem Windows Server i dołączyć ją do domeny zarządzanej.
• Konto użytkownika będące członkiem grupy Administratorzy kontrolera domeny usługi AAD w dzierżawie firmy Microsoft Entra.

Uwaga / Notatka

Szablony administracyjne zasad grupy można używać, kopiując nowe szablony na stację roboczą zarządzania. Skopiuj pliki admx do %SYSTEMROOT%\PolicyDefinitions pliku i skopiuj pliki adml specyficzne dla ustawień regionalnych do %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], gdzie Language-CountryRegion są zgodne z językiem i regionem plików adml .

Na przykład skopiuj do folderu angielską, stany Zjednoczone wersję plików \en-us.

Aby utworzyć i skonfigurować obiekt zasad grupy (GPO), należy zainstalować narzędzia do zarządzania zasadami grupy. Te narzędzia można zainstalować jako funkcję w systemie Windows Server. Aby uzyskać więcej informacji na temat sposobu instalowania narzędzi administracyjnych na kliencie systemu Windows, zobacz instalowanie narzędzia administracji zdalnej serwera (RSAT).

1. Zaloguj się do maszyny wirtualnej zarządzania. Aby uzyskać instrukcje dotyczące nawiązywania połączenia przy użyciu centrum administracyjnego firmy Microsoft Entra, zobacz Connect to a Windows Server VM.

2. Menedżer serwera powinien być domyślnie otwarty podczas logowania się do maszyny wirtualnej. Jeśli nie, w menu Start wybierz pozycję Menedżer serwera.

3. W okienku pulpitu nawigacyjnego okna Menedżera serwera wybierz pozycję Dodaj role i funkcje.

4. Na stronie Przed rozpoczęciem w kreatorze Dodawanie ról i funkcjiwybierz opcję Dalej.

5. W przypadku Typ instalacji, pozostaw zaznaczoną opcję instalacji opartej na rolach lub funkcjach i wybierz Dalej.

6. Na stronie wyboru serwera wybierz bieżącą maszynę wirtualną z puli serwerów, taką jak myvm.aaddscontoso.com, a następnie wybierz pozycję Dalej.

7. Na stronie Role serwera kliknij Dalej.

8. Na stronie Funkcje wybierz funkcję Zarządzanie zasadami grupy .

   

9. Na stronie potwierdzenia wybierz pozycję Zainstaluj. Zainstalowanie narzędzi do zarządzania zasadami grupy może potrwać minutę lub dwie.

10. Po zakończeniu instalacji funkcji wybierz pozycję Zamknij, aby wyjść z kreatora Dodaj role i funkcje.

Domyślne obiekty zasad grupy (GPO) istnieją dla użytkowników i komputerów w domenie zarządzanej. Po zainstalowaniu funkcji zarządzania zasadami grupy z poprzedniej sekcji wyświetlmy i zmodyfikujmy istniejący obiekt zasad grupy. W następnej sekcji utworzysz niestandardowy obiekt zasad grupy.

Uwaga / Notatka

Aby administrować zasadami grupy w domenie zarządzanej, musisz zalogować się do konta użytkownika, które jest członkiem grupy administratorzy kontrolera domeny usługi AAD .

1. Na ekranie startowym wybierz pozycję Narzędzia administracyjne. Zostanie wyświetlona lista dostępnych narzędzi do zarządzania, w tym zarządzanie zasadami grupy zainstalowanymi w poprzedniej sekcji.

2. Aby otworzyć konsolę zarządzania zasadami grupy (GPMC), wybierz pozycję Zarządzanie zasadami grupy.

   

Istnieją dwa wbudowane obiekty zasad grupy (GPO) w domenie zarządzanej — jeden dla kontenera AADDC Computers i jeden dla kontenera AADDC Users . Możesz dostosować te obiekty zasad grupy, aby skonfigurować zasady grupy zgodnie z potrzebami w domenie zarządzanej.

1. W konsoli zarządzania zasadami grupy rozwiń węzeł Las: aaddscontoso.com . Następnie rozwiń węzły Domeny .

   Istnieją dwa wbudowane kontenery dla komputerów AADDC i użytkowników AADDC. Każdy z tych kontenerów ma do nich domyślny obiekt zasad grupy.

   

2. Te wbudowane obiekty zasad grupy można dostosować, aby skonfigurować określone zasady grupy w domenie zarządzanej. Wybierz prawym przyciskiem jedną z obiektów zasad grupy, na przykład AADDC Komputery obiektu zasad grupy, a następnie wybierz polecenie Edytuj....

   

3. Zostanie otwarte narzędzie Edytor zarządzania zasadami grupy, aby umożliwić dostosowanie obiektu zasad grupy, takich jak zasady konta:

   

   Po zakończeniu wybierz pozycję Plik > Zapisz , aby zapisać zasady. Komputery domyślnie odświeżają zasady grupy co 90 minut i stosują wprowadzone zmiany.

Aby pogrupować podobne ustawienia zasad, często zamiast stosować wszystkie wymagane ustawienia w jednym domyślnym obiekcie zasad grupy, często są tworzone dodatkowe obiekty zasad grupy. Za pomocą usług Domain Services można utworzyć lub zaimportować własne niestandardowe obiekty zasad grupy i połączyć je z niestandardową jednostki organizacyjnej. Jeśli musisz najpierw utworzyć niestandardową jednostkę organizacyjną, zobacz tworzenie niestandardowej jednostki organizacyjnej w domenie zarządzanej.

1. W konsoli zarządzania zasadami grupy wybierz niestandardową jednostkę organizacyjną (OU), taką jak MyCustomOU. Wybierz prawym przyciskiem jednostki organizacyjnej i wybierz polecenie Utwórz obiekt zasad grupy w tej domenie, a następnie połącz go tutaj...:

   

2. Określ nazwę nowego obiektu zasad grupy, na przykład Mój niestandardowy obiekt zasad grupy, a następnie wybierz przycisk OK. Opcjonalnie można opierać ten niestandardowy obiekt zasad grupy na istniejącym obiekcie zasad grupy i zestaw opcji zasad.

   

3. Niestandardowy obiekt zasad grupy jest tworzony i połączony z niestandardową jednostką organizacyjną. Aby teraz skonfigurować ustawienia zasad, wybierz prawym przyciskiem pozycję niestandardowy obiekt zasad grupy, a następnie wybierz polecenie Edytuj...:

   

4. Zostanie otwarty Edytor zarządzania zasadami grupy, aby umożliwić dostosowanie obiektu zasad grupy:

   

   Po zakończeniu wybierz pozycję Plik > Zapisz , aby zapisać zasady. Komputery domyślnie odświeżają zasady grupy co 90 minut i stosują wprowadzone zmiany.