編輯

共用方式為

管理 Microsoft Entra Domain Services 受控網域中的群組原則

  • 操作方式

Microsoft Entra Domain Services 中的使用者和電腦物件的設定通常是使用群組原則 (GPO) 物件來管理。 Domain Services 包含適用於 [AADDC 使用者]和 [AADDC 電腦] 容器的內建 GPO。 您可以自訂這些內建 GPO,以視您的環境需要設定群組原則。 「Azure AD DC 管理員」群組成員具有 Domain Services 網域中群組原則的管理權限,並且還能建立自訂 GPO 和組織單位 (OU)。 如需群組原則及其運作方式的詳細資訊,請參閱群組原則概觀

在混合式環境中,內部部署 AD DS 環境中設定的群組原則不會同步到 Domain Services。 若要定義 Domain Services 中的使用者或電腦的設定,請編輯其中一個預設 GPO,或建立自訂 GPO。

本文章會示範如何安裝群組原則管理工具,然後編輯內建 GPO 和建立自訂 GPO。

如果您對伺服器管理策略有興趣,包含 Azure 中的機器和混合式連線,請考慮閱讀 Azure 原則來賓設定

必要條件

若要完成本文章,您需要下列資源和權限:

注意

您可以透過將新的範本複製到管理工作站,使用群組原則系統管理範本。 將 .admx 檔案複製到 %SYSTEMROOT%\PolicyDefinitions,並將地區設定指定的 .adml 檔案複製到 %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion],其Language-CountryRegion符合 .adml 檔案的語言和區域。

例如:將 .adml 檔案的英國、美國版本複製到 \en-us 資料夾中。

安裝「群組原則管理」工具

若要建立和設定群組原則物件 (GPO),您需要安裝「群組原則管理」工具。 這些工具能以 Windows Server 中的功能安裝。 如需詳細了解如何在 Windows 用戶端上安裝系統管理工具,請參閱遠端伺服器管理工具 (RSAT)

  1. 登入您的管理 VM。 如需了解使用 Microsoft Entra 系統管理中心進行連線的步驟,請參閱連線至 Windows Server VM

  2. 當您登入 VM 時,預設應該會開啟 [伺服器管理員]。 如果沒有,請在 [開始] 功能表上,選取 [伺服器管理員]

  3. 在 [伺服器管理員] 視窗的 [儀表板] 窗格內,選取 [新增角色及功能]

  4. 在 [新增角色及功能精靈] 的 [開始之前] 頁面上,選取 [下一步]

  5. 針對 [安裝類型],保持勾選 [角色型或功能型安裝] 選項,然後選取 [下一步]

  6. 在 [伺服器選擇] 頁面上,從伺服器集區中選擇目前的 VM,例如 myvm.aaddscontoso.com,然後選取 [下一步]

  7. 在 [伺服器角色] 頁面上,按 [下一步]

  8. 在 [功能] 頁面上,選取 [群組原則管理] 功能。

    從 [功能] 頁面安裝 [群組原則管理]

  9. 選取 [確認] 頁面上的 [安裝]。 安裝群組原則管理工具可能需要一或兩分鐘的時間。

  10. 完成功能安裝時,請選取 [關閉] 以結束 [新增角色及功能] 精靈。

開啟 [群組原則管理主控台] 並編輯物件

預設受控網域使用者和電腦中存在的群體原則物件 (GPO)。 讓我們使用上一個區段中安裝的群體原則管理功能檢視和編輯現有的 GPO。 在下一個區段中,您將建立自訂 GPO。

注意

若要管理受控網域中的「群組原則」,您必須登入「AAD DC 系統管理員」群組成員的使用者帳戶。

  1. 從 [開始] 畫面中,選取 [系統管理工具]。 顯示可用的管理工具清單,包含上一個區段中安裝的「群組原則管理」

  2. 若要開啟群組原則管理主控台 (GPMC),請選擇 [群組原則管理]

    [群組原則管理主控台] 隨即開啟,準備就緒可編輯群組原則物件

受控網域中具有兩個內建群組原則物件 (GPO) - 一個用於 AADDC 電腦容器,另一個用於 AADDC 使用者容器。 您可以自訂這些 GPO,視需要在您的受控網域中設定群組原則。

  1. 在 [群組原則管理] 主控台中,展開 [樹系:aaddscontoso.com] 節點。 接下來,展開 [網域] 節點。

    AADDC 電腦AADDC 使用者具有兩個內建容器。 這些容器中每個都具有適用其容器的預設 GPO。

    套用至預設「AADDC 電腦」和「AADDC 使用者」容器的內建 GPO

  2. 可以自訂這些內建的 GPO,以在您的受控網域設定特定群組原則。 按滑鼠右鍵選取其中一個 GPO,例如 [AADDC 電腦 GPO],然後選擇 [編輯...]

    選擇可 [編輯] 其中一個內建 GPO 的選項

  3. 「群組原則管理編輯器」工具開啟之後,您就能自訂 GPO,例如帳戶原則

    群組原則管理編輯器的螢幕擷取畫面。

    完成後,請選擇 [檔案 > 儲存] 儲存原則。 依預設,電腦每 90 分鐘重新整理一次群組原則,並套用您所做的變更。

建立自訂群組原則物件

若要將相似的原則設定分組,您通常要建立其他的 GPO,而不是在單一預設 GPO 中套用所有必要的設定。 透過使用 Domain Services,您可以建立或匯入自己的自訂群組原則物件,並將其連結至自訂 OU。 如果您需要先建立自訂 OU,請參閱在受控網域建立自訂 OU

  1. 在 [群組原則管理] 主控台中,選取您的自訂組織單位 (OU),例如 MyCustomOU。 按滑鼠右鍵選取 OU,然後選擇 [在這個網域中建立 GPO 並連結到...]

    在 [群組原則管理主控台] 中建立自訂 GPO

  2. 指定新的 GPO 名稱,例如 [我的自訂 GPO],然後選取 [確定]。 您可以選擇將此自訂 GPO 作為現有 GPO 和一組原則選項的基礎。

    指定新自訂 GPO 的名稱

  3. 自訂 GPO 已建立並連結至您的自訂 OU。 若要立即設定原則設定,請按滑鼠右鍵選取自訂 [GPO],然後選擇 [編輯...]

    選擇選項以「編輯」您的自訂 GPO

  4. [群組原則管理編輯器] 開啟之後,您就能自訂 GPO:

    自訂 GPO 以視需求進行設定

    完成後,請選擇 [檔案 > 儲存] 儲存原則。 依預設,電腦每 90 分鐘重新整理一次群組原則,並套用您所做的變更。

相關內容