管理員在 Microsoft Entra Domain Services 受控網域中註冊群組原則

Microsoft Entra Domain Services 中使用者和電腦物件的設定通常會使用群組原則物件 （GPO） 來管理。 Domain Services 包含 AADDC 使用者 和 AADDC 電腦 容器的 內建 GPO。 您可以自訂這些內建 GPO，以視您的環境需要設定群組原則。 Microsoft Entra DC 系統管理員 群組的成員 在 Domain Services 網域中具有群組原則系統管理許可權，也可以建立自訂 GPO 和組織單位（OU）。 如需群組原則是什麼及其運作方式的詳細資訊，請參閱 群組原則概觀 。

在混合式環境中，在內部部署 AD DS 環境中設定的群組原則不會同步處理至 Domain Services。 若要在 Domain Services 中定義使用者或電腦的組態設定，請編輯其中一個預設 GPO 或建立自訂 GPO。

本文說明如何安裝群組原則管理工具，然後編輯內建 GPO 並建立自訂 GPO。

如果您對伺服器管理原則感興趣，包括 Azure 中的機器和 混合式連線 ，請考慮閱讀 Azure 原則 的客體 設定功能 。

開始之前

若要完成本文，您需要下列資源和許可權：

• 啟用中的 Azure 訂用帳戶。
  • 如果您沒有 Azure 訂用帳戶， 請建立帳戶 。
• 與您的訂用帳戶相關聯的 Microsoft Entra 租使用者，會與內部部署目錄或僅限雲端目錄同步。
  • 如有需要， 請建立 Microsoft Entra 租使用者 ，或 建立 Azure 訂用帳戶與您的帳戶 的關聯。
• 在您的 Microsoft Entra 租使用者中啟用和設定 Microsoft Entra Domain Services 受控網域。
  • 如有需要，請完成建立 及設定 Microsoft Entra Domain Services 受控網域 的教學課程。
• 已加入 Domain Services 受控網域的 Windows Server 管理 VM。
  • 如有需要，請完成 建立 Windows Server VM 並加入受控網域 的教學課程。
• 使用者帳戶，是 Microsoft Entra 租使用者中 Microsoft Entra DC 系統管理員 群組的成員 。

注意

您可以將新的範本複製到管理工作站，以使用群組原則管理員原則範本。 將 .admx 檔案 %SYSTEMROOT%\PolicyDefinitions 複製到 ，並將地區設定特定的 .adml 檔案 %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion] 複製到 ，其中 Language-CountryRegion 符合 .adml 檔案的語言 和區域。

例如，將 .adml 檔案 \en-us 的 英文美國版本複製到 資料夾中。

安裝群組原則管理工具

若要建立及設定群組原則物件（GPO），您需要安裝群組原則管理工具。 這些工具可以安裝為 Windows Server 中的功能。 如需如何在 Windows 用戶端上安裝系統管理工具的詳細資訊，請參閱安裝 遠端伺服器 管理員istration Tools （RSAT） 。

1. 登入您的管理 VM。 如需如何使用 Microsoft Entra 系統管理中心連線的步驟，請參閱 連線到 Windows Server VM 。

2. 當您登入 VM 時，預設應該 會開啟伺服器管理員。 如果沒有，請在 [ 開始] 功能表上選取 [伺服器管理員 ]。

3. 在 [伺服器管理員 ] 視窗的 [ 儀表板 ] 窗格中，選取 [ 新增角色和功能 ]。

4. 在 [新增角色及功能精靈 ] 的 [ 開始 之前] 頁面上，選取 [ 下一步 ]。

5. 針對 [ 安裝類型 ]，保留核取 [ 角色型或功能型安裝 ] 選項，然後選取 [ 下一步 ]。

6. 在 [ 伺服器選取 ] 頁面上，從伺服器集區選擇目前的 VM，例如 myvm.aaddscontoso.com ，然後選取 [ 下一步 ]。

7. 在 [ 伺服器角色] 頁面上，按 [下一步 ]。

8. 在 [ 功能] 頁面上，選取 [群組原則管理功能 ]。

   

9. 在 [ 確認 ] 頁面上，選取 [ 安裝 ]。 安裝群組原則管理工具可能需要一兩分鐘的時間。

10. 當功能安裝完成時，請選取 [ 關閉 ] 以結束 [ 新增角色和功能 精靈]。

開啟群組原則管理主控台並編輯物件

受控網域中的使用者和電腦存在預設群組原則物件 （GPO）。 從上一節安裝群組原則管理功能後，讓我們來檢視和編輯現有的 GPO。 在下一節中，您會建立自訂 GPO。

注意

若要管理受控網域中的群組原則，您必須登入屬於 AAD DC 管理員istrators 群組成員的 使用者帳戶。

1. 從 [開始] 畫面中，選取 [管理員工具 ]。 顯示可用的管理工具清單，包括 上一節中安裝的群組原則管理 。

2. 若要開啟群組原則管理主控台 （GPMC），請選擇 [群組原則管理 ]。

   

受控網域中有兩個內建群組原則物件 （GPO），一個用於 AADDC 電腦 容器，另一個用於 AADDC Users 容器。 您可以自訂這些 GPO，以視需要在受控網域內設定群組原則。

1. 在群組原則管理主控台 中，展開 [ 樹 系：aaddscontoso.com ] 節點。 接下來，展開 [ 網域] 節點。

   AADDC 電腦 和 AADDC 使用者 有兩個 內建容器。 每個容器都會套用預設 GPO。

   

2. 您可以自訂這些內建 GPO，在您的受控網域上設定特定的群組原則。 以滑鼠右鍵按一下其中一個 GPO，例如 AADDC 電腦 GPO ，然後選擇 [ 編輯... ]。

   

3. 群組原則管理編輯器工具隨即開啟，可讓您自訂 GPO，例如 帳戶原則 ：

   

   完成後，選擇 [ 檔案 > 儲存] 以儲存原則。 電腦預設會每隔 90 分鐘重新整理群組原則，並套用您所做的變更。

建立自訂群組策略物件

若要將類似的原則設定分組，您通常會建立其他 GPO，而不是套用單一預設 GPO 中的所有必要設定。 使用 Domain Services，您可以建立或匯入自己的自訂群組策略物件，並將其連結至自訂 OU。 如果您需要先建立自訂 OU，請參閱 在受控網域 中建立自訂 OU。

1. 在 群組原則管理主控台 中，選取您的自訂群組織單位（OU），例如 MyCustomOU 。 以滑鼠右鍵按一下 OU，然後選擇 [在此網域中建立 GPO]，然後在這裡連結... ：

   

2. 指定新 GPO 的名稱，例如 [我的自訂 GPO ]，然後選取 [ 確定 ]。 您可以選擇性地根據現有的 GPO 和一組原則選項來建置此自訂 GPO。

   

3. 自訂 GPO 會建立並連結至您的自訂 OU。 若要立即設定原則設定，請以滑鼠右鍵按一下自訂 GPO，然後選擇 [ 編輯... ]：

   

4. 群組原則 管理編輯器 隨即開啟，讓您自訂 GPO：

   

   完成後，選擇 [ 檔案 > 儲存] 以儲存原則。 電腦預設會每隔 90 分鐘重新整理群組原則，並套用您所做的變更。

下一步

如需您可以使用群組原則管理主控台設定之可用群組原則設定的詳細資訊，請參閱 使用群組原則喜好設定專案 。