管理 Microsoft Entra Domain Services 受控網域中的群組原則

操作方式
10/19/2023

Microsoft Entra Domain Services 中的使用者和電腦物件的設定通常是使用群組原則 (GPO) 物件來管理。 Domain Services 包含適用於 [AADDC 使用者]和 [AADDC 電腦] 容器的內建 GPO。您可以自訂這些內建 GPO，以視您的環境需要設定群組原則。「Azure AD DC 管理員」群組成員具有 Domain Services 網域中群組原則的管理權限，並且還能建立自訂 GPO 和組織單位 (OU)。如需群組原則及其運作方式的詳細資訊，請參閱群組原則概觀。

在混合式環境中，內部部署 AD DS 環境中設定的群組原則不會同步到 Domain Services。若要定義 Domain Services 中的使用者或電腦的設定，請編輯其中一個預設 GPO，或建立自訂 GPO。

本文章會示範如何安裝群組原則管理工具，然後編輯內建 GPO 和建立自訂 GPO。

如果您對伺服器管理策略有興趣，包含 Azure 中的機器和混合式連線，請考慮閱讀 Azure 原則的來賓設定。

必要條件

若要完成本文章，您需要下列資源和權限：

有效的 Azure 訂閱。
- 如果您沒有 Azure 訂用帳戶，請先建立帳戶。
與訂用帳戶相關聯的 Microsoft Entra 租用戶，且其已與內部部署目錄或純雲端目錄同步。
- 如有需要，請建立 Microsoft Entra 租用戶或將 Azure 訂用帳戶與您的帳戶相關聯。
在 Microsoft Entra 租用戶中已啟用和設定的 Microsoft Entra Domain Services 受控網域。
- 如有需要，請完成教學課程，以建立並設定 Microsoft Entra Domain Services 受控網域。
已加入 Domain Services 受控網域的 Windows Server 管理 VM。
- 如有需要，請完成教學課程，了解如何建立 Windows Server VM 並將它加入受控網域。
屬於您 Microsoft Entra 租用戶中「AAD DC 系統管理員」群組成員的使用者帳戶。

注意

您可以透過將新的範本複製到管理工作站，使用群組原則系統管理範本。將 .admx 檔案複製到 %SYSTEMROOT%\PolicyDefinitions，並將地區設定指定的 .adml 檔案複製到 %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion]，其Language-CountryRegion符合 .adml 檔案的語言和區域。

例如：將 .adml 檔案的英國、美國版本複製到 \en-us 資料夾中。

安裝「群組原則管理」工具

若要建立和設定群組原則物件 (GPO)，您需要安裝「群組原則管理」工具。這些工具能以 Windows Server 中的功能安裝。如需詳細了解如何在 Windows 用戶端上安裝系統管理工具，請參閱遠端伺服器管理工具 (RSAT)。

登入您的管理 VM。如需了解使用 Microsoft Entra 系統管理中心進行連線的步驟，請參閱連線至 Windows Server VM。
當您登入 VM 時，預設應該會開啟 [伺服器管理員]。如果沒有，請在 [開始] 功能表上，選取 [伺服器管理員]。
在 [伺服器管理員] 視窗的 [儀表板] 窗格內，選取 [新增角色及功能]。
在 [新增角色及功能精靈] 的 [開始之前] 頁面上，選取 [下一步]。
針對 [安裝類型]，保持勾選 [角色型或功能型安裝] 選項，然後選取 [下一步]。
在 [伺服器選擇] 頁面上，從伺服器集區中選擇目前的 VM，例如 myvm.aaddscontoso.com，然後選取 [下一步]。
在 [伺服器角色] 頁面上，按 [下一步]。
在 [功能] 頁面上，選取 [群組原則管理] 功能。
選取 [確認] 頁面上的 [安裝]。安裝群組原則管理工具可能需要一或兩分鐘的時間。
完成功能安裝時，請選取 [關閉] 以結束 [新增角色及功能] 精靈。

開啟 [群組原則管理主控台] 並編輯物件

預設受控網域使用者和電腦中存在的群體原則物件 (GPO)。讓我們使用上一個區段中安裝的群體原則管理功能檢視和編輯現有的 GPO。在下一個區段中，您將建立自訂 GPO。

注意

若要管理受控網域中的「群組原則」，您必須登入「AAD DC 系統管理員」群組成員的使用者帳戶。

從 [開始] 畫面中，選取 [系統管理工具]。顯示可用的管理工具清單，包含上一個區段中安裝的「群組原則管理」。
若要開啟群組原則管理主控台 (GPMC)，請選擇 [群組原則管理]。

受控網域中具有兩個內建群組原則物件 (GPO) - 一個用於 AADDC 電腦容器，另一個用於 AADDC 使用者容器。您可以自訂這些 GPO，視需要在您的受控網域中設定群組原則。

在 [群組原則管理] 主控台中,展開 [樹系：aaddscontoso.com] 節點。接下來，展開 [網域] 節點。

AADDC 電腦和 AADDC 使用者具有兩個內建容器。這些容器中每個都具有適用其容器的預設 GPO。
可以自訂這些內建的 GPO，以在您的受控網域設定特定群組原則。按滑鼠右鍵選取其中一個 GPO，例如 [AADDC 電腦 GPO]，然後選擇 [編輯...]。
「群組原則管理編輯器」工具開啟之後，您就能自訂 GPO，例如帳戶原則：

完成後，請選擇 [檔案 > 儲存] 儲存原則。依預設，電腦每 90 分鐘重新整理一次群組原則，並套用您所做的變更。

建立自訂群組原則物件

若要將相似的原則設定分組，您通常要建立其他的 GPO，而不是在單一預設 GPO 中套用所有必要的設定。透過使用 Domain Services，您可以建立或匯入自己的自訂群組原則物件，並將其連結至自訂 OU。如果您需要先建立自訂 OU，請參閱在受控網域建立自訂 OU。

在 [群組原則管理] 主控台中，選取您的自訂組織單位 (OU)，例如 MyCustomOU。按滑鼠右鍵選取 OU，然後選擇 [在這個網域中建立 GPO 並連結到...]：
指定新的 GPO 名稱，例如 [我的自訂 GPO]，然後選取 [確定]。您可以選擇將此自訂 GPO 作為現有 GPO 和一組原則選項的基礎。
自訂 GPO 已建立並連結至您的自訂 OU。若要立即設定原則設定，請按滑鼠右鍵選取自訂 [GPO]，然後選擇 [編輯...]：
[群組原則管理編輯器] 開啟之後，您就能自訂 GPO：

完成後，請選擇 [檔案 > 儲存] 儲存原則。依預設，電腦每 90 分鐘重新整理一次群組原則，並套用您所做的變更。