Microsoft Entra Domain Services 中使用者和計算機物件的 設定 通常會使用組策略物件 (GPO) 來管理。 Domain Services 包含 AADDC 使用者和 AADDC 計算機容器的內建 GPO。 您可以自訂這些內建 GPO,以視您的環境需要設定群組原則。 AAD DC 管理員 istrators 群組的成員在 Domain Services 網域中具有組策略管理許可權,也可以建立自定義 GPO 和組織單位(OU)。 如需組策略是什麼及其運作方式的詳細資訊,請參閱 組策略概觀。
在混合式環境中,在內部部署 AD DS 環境中設定的組策略不會同步處理至 Domain Services。 若要在 Domain Services 中定義使用者或電腦的組態設定,請編輯其中一個預設 GPO 或建立自定義 GPO。
本文說明如何安裝組策略管理工具,然後編輯內建 GPO 並建立自定義 GPO。
若要完成本文章,您需要下列資源和權限:
注意
您可以將新的範本複製到管理工作站,以使用組策略 管理員 原則範本。 將 .admx 檔案%SYSTEMROOT%\PolicyDefinitions複製到 ,並將地區設定特定的 .adml 檔案%SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion]複製到 ,其中Language-CountryRegion符合 .adml 檔案的語言和區域。
例如,將 .adml 檔案\en-us的英文 美國 版本複製到 資料夾中。
若要建立及設定組策略物件(GPO),您需要安裝組策略管理工具。 這些工具可以安裝為 Windows Server 中的功能。 如需如何在 Windows 用戶端上安裝系統管理工具的詳細資訊,請參閱安裝遠端伺服器 管理員 istration Tools (RSAT) 。
登入您的管理 VM。 如需如何使用 Microsoft Entra 系統管理中心連線的步驟,請參閱 連線 到 Windows Server VM。
當您登入 VM 時,預設應該會開啟 伺服器管理員。 如果沒有,請在 [開始] 功能表上選取 [伺服器管理員]。
在 [伺服器管理員] 視窗的 [儀錶板] 窗格中,選取 [新增角色和功能]。
在 [新增角色及功能精靈] 的 [開始之前] 頁面上,選取 [下一步]。
針對 [ 安裝類型],保留核取 [ 角色型或功能型安裝 ] 選項,然後選取 [ 下一步]。
在 [ 伺服器選取 ] 頁面上,從伺服器集區選擇目前的 VM,例如 myvm.aaddscontoso.com,然後選取 [ 下一步]。
在 [ 伺服器角色] 頁面上,按 [下一步]。
在 [ 功能] 頁面上,選取 [組策略管理功能 ]。
![從[功能] 頁面安裝 [組策略管理]](media/entra-domain-services-admin-guide/install-rsat-server-manager-add-roles-gp-management.png)
選取 [確認] 頁面上的 [安裝]。 安裝組策略管理工具可能需要一兩分鐘的時間。
當功能安裝完成時,請選取 [ 關閉 ] 以結束 [ 新增角色和功能 精靈]。
受控網域中的用戶和計算機存在預設組策略物件 (GPO)。 從上一節安裝組策略管理功能后,讓我們來檢視和編輯現有的 GPO。 在下一節中,您會建立自定義 GPO。
注意
若要在受控網域中管理組策略,您必須登入屬於 AAD DC 管理員 istrators 群組成員的用戶帳戶。
從 [開始] 畫面中,選取 [管理員 工具]。 顯示可用的管理工具清單,包括 上一節中安裝的組策略管理 。
若要開啟組策略管理主控台 (GPMC),請選擇 [組策略管理]。
受控網域中有兩個內建組策略物件 (GPO),一個用於 AADDC 計算機 容器,另一個用於 AADDC Users 容器。 您可以自定義這些 GPO,以視需要在受控網域內設定組策略。
在組策略管理控制台中,展開 [樹系:aaddscontoso.com] 節點。 接下來,展開 [ 網域] 節點。
AADDC 計算機和 AADDC 使用者有兩個內建容器。 每個容器都會套用預設 GPO。
您可以自定義這些內建 GPO,在您的受控網域上設定特定的組策略。 以滑鼠右鍵按兩下其中一個 GPO,例如 AADDC 電腦 GPO,然後選擇 [ 編輯...]。
![選擇 [編輯] 其中一個內建 GPO 的選項](media/entra-domain-services-admin-guide/edit-builtin-gpo.png)
組策略管理編輯器工具隨即開啟,可讓您自定義 GPO,例如 帳戶原則:
完成後,選擇 [ 檔案 > 儲存] 以儲存原則。 計算機預設會每隔 90 分鐘重新整理組策略,並套用您所做的變更。
若要將類似的原則設定分組,您通常會建立其他 GPO,而不是套用單一預設 GPO 中的所有必要設定。 使用 Domain Services,您可以建立或匯入自己的自定義組策略物件,並將其連結至自定義 OU。 如果您需要先建立自定義 OU,請參閱 在受控網域中建立自定義 OU。
在 組策略管理主控台 中,選取您的自定義組織單位(OU),例如 MyCustomOU。 以滑鼠右鍵按兩下 OU,然後選擇 [在此網域中建立 GPO],然後在這裡連結...:
指定新 GPO 的名稱,例如 [我的自定義 GPO],然後選取 [ 確定]。 您可以選擇性地根據現有的 GPO 和一組原則選項來建置此自定義 GPO。
自定義 GPO 會建立並連結至您的自訂 OU。 若要立即設定原則設定,請以滑鼠右鍵按兩下自定義 GPO,然後選擇 [ 編輯...]:
![選擇 [編輯] 自定義 GPO 的選項](media/entra-domain-services-admin-guide/gp-gpo-created.png)
組策略 管理編輯器 隨即開啟,讓您自定義 GPO:
完成後,選擇 [ 檔案 > 儲存] 以儲存原則。 計算機預設會每隔 90 分鐘重新整理組策略,並套用您所做的變更。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應