Administrar a Política de Grupo em um domínio gerenciado do Microsoft Entra Domain Services

As definições para objetos de utilizador e computador no Microsoft Entra Domain Services são frequentemente geridas com objetos de Política de Grupo (GPOs). Os Serviços de Domínio incluem GPOs internos para os usuários do AADDC e contêineres de computadores AADDC . Você pode personalizar esses GPOs internos para configurar a Política de Grupo conforme necessário para o seu ambiente. Os membros do grupo administradores do AAD DC têm privilégios de administração de Política de Grupo no domínio dos Serviços de Domínio e também podem criar GPOs personalizados e UOs (unidades organizacionais). Para obter mais informações sobre o que é a Política de Grupo e como ela funciona, consulte a visão geral da Política de Grupo.

Em um ambiente híbrido, as políticas de grupo configuradas em um ambiente do AD DS local não são sincronizadas com os Serviços de Domínio. Para definir as configurações para usuários ou computadores no Domain Services, edite um dos GPOs padrão ou crie um GPO personalizado.

Este artigo mostra como instalar as ferramentas de Gerenciamento de Política de Grupo, editar os GPOs internos e criar GPOs personalizados. Recomendamos que você faça backup de GPOs depois de fazer alterações neles. Para obter mais informações sobre como fazer backup e restaurar GPOs, consulte Backup, restauração, migração e cópia de objetos de política de grupo.

Se você estiver interessado na estratégia de gerenciamento de servidor, incluindo computadores no Azure e conectados híbridos, considere ler sobre o recurso de configuração de convidado do Azure Policy.

Pré-requisitos

Para concluir este artigo, você precisa dos seguintes recursos e privilégios:

• Uma assinatura ativa do Azure.
  • Se você não tiver uma assinatura do Azure, crie uma conta.
• Um tenant do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Se necessário, crie um tenant do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Um domínio gerenciado do Microsoft Entra Domain Services, habilitado e configurado no seu tenant do Microsoft Entra.
  • Se necessário, conclua o tutorial Criar e configurar um domínio gerenciado do Microsoft Entra Domain Services.
• Uma VM de gerenciamento do Windows Server ingressada no domínio gerenciado dos Serviços de Domínio.
  • Se necessário, conclua o tutorial para criar uma VM do Windows Server e ingressá-la em um domínio gerenciado.
• Uma conta de usuário que é membro do grupo administradores do AAD DC em seu locatário do Microsoft Entra.

Observação

Você pode usar modelos administrativos de política de grupo copiando os novos modelos para a estação de trabalho de gerenciamento. Copie os arquivos %SYSTEMROOT%\PolicyDefinitions.admx e copie os arquivos .adml específicos da localidade para%SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], onde Language-CountryRegion corresponde ao idioma e à região dos arquivos .adml.

Por exemplo, copie a versão em inglês dos Estados Unidos dos arquivos .adml para a \en-us pasta.

Instalar ferramentas de Gerenciamento de Política de Grupo

Para criar e configurar GPOs (Objeto de Política de Grupo), você precisa instalar as ferramentas de Gerenciamento de Política de Grupo. Essas ferramentas podem ser instaladas como um recurso no Windows Server. Para obter mais informações sobre como instalar as ferramentas administrativas em um cliente Windows, consulte instalar as Ferramentas de Administração de Servidor Remoto (RSAT).

1. Entre na VM de gerenciamento. Para obter etapas sobre como se conectar usando o centro de administração do Microsoft Entra, consulte Conectar-se a uma VM do Windows Server.

2. O Gerenciador de Servidores deve abrir por padrão quando você entra na VM. Caso contrário, no menu Iniciar , selecione Gerenciador do Servidor.

3. No painel Painel da janela Gerenciador do Servidor , selecione Adicionar Funções e Recursos.

4. Na página Antes de Começar do Assistente para Adicionar Funções e Recursos, selecione Avançar.

5. Para o Tipo de instalação, deixe a opção de instalação baseada em função ou baseada em recursos marcada e selecione Avançar.

6. Na página Seleção de Servidor , escolha a VM atual no pool de servidores, como myvm.aaddscontoso.com, e selecione Avançar.

7. Na página Funções de Servidor , clique em Avançar.

8. Na página Recursos , selecione o recurso Gerenciamento de Política de Grupo .

   

9. Na página Confirmação, selecione Instalar. Pode levar um ou dois minutos para instalar as ferramentas de Gerenciamento de Política de Grupo.

10. Quando a instalação do recurso estiver concluída, selecione Fechar para sair do assistente Adicionar funções e recursos .

Abra o Console de Gerenciamento de Política de Grupo e edite um objeto

Os GPOs (objetos de política de grupo) padrão existem para usuários e computadores em um domínio gerenciado. Com o recurso Gerenciamento de Política de Grupo instalado da seção anterior, vamos exibir e editar um GPO existente. Na próxima seção, você criará um GPO personalizado.

Observação

Para administrar a Política de Grupo em um domínio gerenciado, você deve estar conectado a uma conta de usuário que seja membro do grupo administradores do AAD DC .

1. Na tela inicial, selecione Ferramentas administrativas. Uma lista de ferramentas de gerenciamento disponíveis é mostrada, incluindo o Gerenciamento de Política de Grupo instalado na seção anterior.

2. Para abrir o GPMC (Console de Gerenciamento de Política de Grupo), escolha Gerenciamento de Política de Grupo.

   

Há dois GPOs (Objetos de Política de Grupo) internos em um domínio gerenciado : um para o contêiner de Computadores AADDC e outro para o contêiner Usuários do AADDC . Você pode personalizar esses GPOs para configurar a política de grupo conforme necessário em seu domínio gerenciado.

1. No console de Gerenciamento de Política de Grupo , expanda a Floresta: aaddscontoso.com nó. Em seguida, expanda os nós de Domínios .

   Existem dois contêineres internos para computadores AADDC e usuários do AADDC. Cada um desses contêineres tem um GPO padrão aplicado a eles.

   

2. Esses GPOs internos podem ser personalizados para configurar políticas de grupo específicas em seu domínio gerenciado. Selecione com o botão direito do mouse um dos GPOs, como GPO de Computadores AADDC, e escolha Editar....

   

3. A ferramenta Editor de Gerenciamento de Política de Grupo é aberta para permitir que você personalize o GPO, como Políticas de Conta:

   

   Quando terminar, escolha Salvar Arquivo > para salvar a política. Os computadores atualizam a Política de Grupo por padrão a cada 90 minutos e aplicam as alterações feitas.

Criar um objeto de política de grupo personalizado

Para agrupar configurações de política semelhantes, você geralmente cria GPOs adicionais em vez de aplicar todas as configurações necessárias no GPO padrão único. Com os Serviços de Domínio, você pode criar ou importar seus próprios objetos de política de grupo personalizados e vinculá-los a uma UO personalizada. Se você precisar primeiro criar uma UO personalizada, consulte criar uma UO personalizada em um domínio gerenciado.

1. No console de Gerenciamento de Política de Grupo , selecione sua UO (unidade organizacional personalizada), como MyCustomOU. Selecione a UO com o botão direito do mouse e escolha Criar um GPO neste domínio e vincule-o aqui...:

   

2. Especifique um nome para o novo GPO, como Meu GPO personalizado, em seguida, selecione OK. Opcionalmente, você pode basear esse GPO personalizado em um GPO existente e um conjunto de opções de política.

   

3. O GPO personalizado é criado e vinculado à UO personalizada. Para definir agora as configurações de política, selecione com o botão direito do mouse o GPO personalizado e escolha Editar...:

   

4. O Editor de Gerenciamento de Política de Grupo é aberto para permitir que você personalize o GPO:

   

   Quando terminar, escolha Salvar Arquivo > para salvar a política. Os computadores atualizam a Política de Grupo por padrão a cada 90 minutos e aplicam as alterações feitas.

Conteúdo relacionado

• Trabalhar com itens de preferência da Política de Grupo

As definições para objetos de utilizador e computador no Microsoft Entra Domain Services são frequentemente geridas com objetos de Política de Grupo (GPOs). Os Serviços de Domínio incluem GPOs internos para os usuários do AADDC e contêineres de computadores AADDC . Você pode personalizar esses GPOs internos para configurar a Política de Grupo conforme necessário para o seu ambiente. Os membros do grupo administradores do AAD DC têm privilégios de administração de Política de Grupo no domínio dos Serviços de Domínio e também podem criar GPOs personalizados e UOs (unidades organizacionais). Para obter mais informações sobre o que é a Política de Grupo e como ela funciona, consulte a visão geral da Política de Grupo.

Em um ambiente híbrido, as políticas de grupo configuradas em um ambiente do AD DS local não são sincronizadas com os Serviços de Domínio. Para definir as configurações para usuários ou computadores no Domain Services, edite um dos GPOs padrão ou crie um GPO personalizado.

Este artigo mostra como instalar as ferramentas de Gerenciamento de Política de Grupo, editar os GPOs internos e criar GPOs personalizados. Recomendamos que você faça backup de GPOs depois de fazer alterações neles. Para obter mais informações sobre como fazer backup e restaurar GPOs, consulte Backup, restauração, migração e cópia de objetos de política de grupo.

Se você estiver interessado na estratégia de gerenciamento de servidor, incluindo computadores no Azure e conectados híbridos, considere ler sobre o recurso de configuração de convidado do Azure Policy.

Para concluir este artigo, você precisa dos seguintes recursos e privilégios:

• Uma assinatura ativa do Azure.
  • Se você não tiver uma assinatura do Azure, crie uma conta.
• Um tenant do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Se necessário, crie um tenant do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Um domínio gerenciado do Microsoft Entra Domain Services, habilitado e configurado no seu tenant do Microsoft Entra.
  • Se necessário, conclua o tutorial Criar e configurar um domínio gerenciado do Microsoft Entra Domain Services.
• Uma VM de gerenciamento do Windows Server ingressada no domínio gerenciado dos Serviços de Domínio.
  • Se necessário, conclua o tutorial para criar uma VM do Windows Server e ingressá-la em um domínio gerenciado.
• Uma conta de usuário que é membro do grupo administradores do AAD DC em seu locatário do Microsoft Entra.

Observação

Você pode usar modelos administrativos de política de grupo copiando os novos modelos para a estação de trabalho de gerenciamento. Copie os arquivos %SYSTEMROOT%\PolicyDefinitions.admx e copie os arquivos .adml específicos da localidade para%SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], onde Language-CountryRegion corresponde ao idioma e à região dos arquivos .adml.

Por exemplo, copie a versão em inglês dos Estados Unidos dos arquivos .adml para a \en-us pasta.

Para criar e configurar GPOs (Objeto de Política de Grupo), você precisa instalar as ferramentas de Gerenciamento de Política de Grupo. Essas ferramentas podem ser instaladas como um recurso no Windows Server. Para obter mais informações sobre como instalar as ferramentas administrativas em um cliente Windows, consulte instalar as Ferramentas de Administração de Servidor Remoto (RSAT).

1. Entre na VM de gerenciamento. Para obter etapas sobre como se conectar usando o centro de administração do Microsoft Entra, consulte Conectar-se a uma VM do Windows Server.

2. O Gerenciador de Servidores deve abrir por padrão quando você entra na VM. Caso contrário, no menu Iniciar , selecione Gerenciador do Servidor.

3. No painel Painel da janela Gerenciador do Servidor , selecione Adicionar Funções e Recursos.

4. Na página Antes de Começar do Assistente para Adicionar Funções e Recursos, selecione Avançar.

5. Para o Tipo de instalação, deixe a opção de instalação baseada em função ou baseada em recursos marcada e selecione Avançar.

6. Na página Seleção de Servidor , escolha a VM atual no pool de servidores, como myvm.aaddscontoso.com, e selecione Avançar.

7. Na página Funções de Servidor , clique em Avançar.

8. Na página Recursos , selecione o recurso Gerenciamento de Política de Grupo .

   

9. Na página Confirmação, selecione Instalar. Pode levar um ou dois minutos para instalar as ferramentas de Gerenciamento de Política de Grupo.

10. Quando a instalação do recurso estiver concluída, selecione Fechar para sair do assistente Adicionar funções e recursos .

Os GPOs (objetos de política de grupo) padrão existem para usuários e computadores em um domínio gerenciado. Com o recurso Gerenciamento de Política de Grupo instalado da seção anterior, vamos exibir e editar um GPO existente. Na próxima seção, você criará um GPO personalizado.

Observação

Para administrar a Política de Grupo em um domínio gerenciado, você deve estar conectado a uma conta de usuário que seja membro do grupo administradores do AAD DC .

1. Na tela inicial, selecione Ferramentas administrativas. Uma lista de ferramentas de gerenciamento disponíveis é mostrada, incluindo o Gerenciamento de Política de Grupo instalado na seção anterior.

2. Para abrir o GPMC (Console de Gerenciamento de Política de Grupo), escolha Gerenciamento de Política de Grupo.

   

Há dois GPOs (Objetos de Política de Grupo) internos em um domínio gerenciado : um para o contêiner de Computadores AADDC e outro para o contêiner Usuários do AADDC . Você pode personalizar esses GPOs para configurar a política de grupo conforme necessário em seu domínio gerenciado.

1. No console de Gerenciamento de Política de Grupo , expanda a Floresta: aaddscontoso.com nó. Em seguida, expanda os nós de Domínios .

   Existem dois contêineres internos para computadores AADDC e usuários do AADDC. Cada um desses contêineres tem um GPO padrão aplicado a eles.

   

2. Esses GPOs internos podem ser personalizados para configurar políticas de grupo específicas em seu domínio gerenciado. Selecione com o botão direito do mouse um dos GPOs, como GPO de Computadores AADDC, e escolha Editar....

   

3. A ferramenta Editor de Gerenciamento de Política de Grupo é aberta para permitir que você personalize o GPO, como Políticas de Conta:

   

   Quando terminar, escolha Salvar Arquivo > para salvar a política. Os computadores atualizam a Política de Grupo por padrão a cada 90 minutos e aplicam as alterações feitas.

Para agrupar configurações de política semelhantes, você geralmente cria GPOs adicionais em vez de aplicar todas as configurações necessárias no GPO padrão único. Com os Serviços de Domínio, você pode criar ou importar seus próprios objetos de política de grupo personalizados e vinculá-los a uma UO personalizada. Se você precisar primeiro criar uma UO personalizada, consulte criar uma UO personalizada em um domínio gerenciado.

1. No console de Gerenciamento de Política de Grupo , selecione sua UO (unidade organizacional personalizada), como MyCustomOU. Selecione a UO com o botão direito do mouse e escolha Criar um GPO neste domínio e vincule-o aqui...:

   

2. Especifique um nome para o novo GPO, como Meu GPO personalizado, em seguida, selecione OK. Opcionalmente, você pode basear esse GPO personalizado em um GPO existente e um conjunto de opções de política.

   

3. O GPO personalizado é criado e vinculado à UO personalizada. Para definir agora as configurações de política, selecione com o botão direito do mouse o GPO personalizado e escolha Editar...:

   

4. O Editor de Gerenciamento de Política de Grupo é aberto para permitir que você personalize o GPO:

   

   Quando terminar, escolha Salvar Arquivo > para salvar a política. Os computadores atualizam a Política de Grupo por padrão a cada 90 minutos e aplicam as alterações feitas.