Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Параметры для объектов пользователей и компьютеров в Доменные службы Microsoft Entra часто управляются с помощью объектов групповая политика (GPO). Доменные службы включают встроенные объекты групповой политики для пользователей AADDC и контейнеров компьютеров AADDC . С помощью этих встроенных объектов групповой политики можно настроить групповую политику в соответствии с потребностями среды. Члены группы администраторов контроллера домена AAD имеют права администрирования групповой политики в домене доменных служб, а также могут создавать пользовательские объекты групповой политики и подразделения (OUS). Дополнительные сведения о том, что такое групповая политика и как она работает, см. в обзоре групповой политики.
В гибридной среде групповые политики, настроенные в локальной среде AD DS, не синхронизируются с доменными службами. Чтобы определить параметры конфигурации для пользователей или компьютеров в доменных службах, измените один из стандартных объектов групповой политики или создайте пользовательский объект групповой политики.
В этой статье показано, как установить средства управления групповыми политиками, а затем изменить встроенные объекты групповой политики и создать пользовательские объекты групповой политики. Мы рекомендуем создать резервную копию объектов групповой политики после внесения изменений в них. Дополнительные сведения о резервном копировании и восстановлении объектов групповой политики см. в статье "Резервное копирование, восстановление, миграция и копирование объектов групповой политики".
Если вы заинтересованы в стратегии управления серверами, включая компьютеры в Azure и гибридном подключении, ознакомьтесь с функцией гостевой конфигурацииполитики Azure.
Необходимые компоненты
Чтобы завершить эту статью, вам потребуются следующие ресурсы и привилегии:
- Активная подписка Azure.
- Если у вас нет подписки на Azure, зарегистрируйтесь для создания учетной записи.
- Клиент Microsoft Entra, связанный с вашей подпиской, синхронизирован либо с локальным каталогом, либо с облачным каталогом.
- При необходимости создайте клиент Microsoft Entra или присоедините подписку Azure к своей учетной записи.
- Управляемый домен доменных служб Microsoft Entra включен и настроен в клиенте Microsoft Entra.
- При необходимости выполните инструкции по созданию и настройке управляемого домена доменных служб Microsoft Entra.
- Виртуальная машина управления Windows Server, присоединенная к управляемому домену доменных служб.
- При необходимости выполните инструкции по созданию виртуальной машины Windows Server и присоединению ее к управляемому домену.
- Учетная запись пользователя, которая входит в группу администраторов контроллера домена AAD в клиенте Microsoft Entra.
Замечание
С помощью административных шаблонов групповой политики можно скопировать новые шаблоны на рабочую станцию управления. Скопируйте файлы ADMX в %SYSTEMROOT%\PolicyDefinitions файлы ADML и скопируйте файлы ADML%SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion]для языкового стандарта, где Language-CountryRegion соответствует языку и региону adml-файлов .
Например, скопируйте английскую версию ADML-файлов в папку \en-us .
Установка средств управления групповыми политиками
Чтобы создать и настроить объект групповой политики (ГОП), необходимо установить средства управления групповыми политиками. Эти средства можно установить как функцию в Windows Server. Дополнительные сведения об установке средств администрирования на клиенте Windows см. в статье об установке средств удаленного администрирования сервера (RSAT).
Войдите на виртуальную машину управления. Инструкции по подключению с помощью Центра администрирования Microsoft Entra см. в статье "Подключение к виртуальной машине Windows Server".
Диспетчер серверов должен открываться по умолчанию при входе на виртуальную машину. Если нет, в меню "Пуск " выберите диспетчер серверов.
На панели мониторинга окна диспетчера серверов выберите "Добавить роли и компоненты".
На странице "Перед началом работы " мастера добавления ролей и компонентов нажмите кнопку "Далее".
Для типа установки оставьте флажок установки на основе ролей или компонентов и нажмите кнопку "Далее".
На странице выбора сервера выберите текущую виртуальную машину из пула серверов, например myvm.aaddscontoso.com, а затем нажмите кнопку "Далее".
На странице "Роли сервера" нажмите кнопку "Далее".
На странице "Компоненты" выберите функцию управления групповыми политиками .
На странице подтверждения нажмите кнопку "Установить". Для установки средств управления групповыми политиками может потребоваться несколько минут.
После завершения установки компонентов нажмите кнопку "Закрыть ", чтобы выйти из мастера добавления ролей и компонентов .
Откройте консоль управления групповыми политиками и измените объект
Объекты групповой политики по умолчанию существуют для пользователей и компьютеров в управляемом домене. С помощью функции управления групповыми политиками, установленной из предыдущего раздела, давайте рассмотрим и изменим существующий объект групповой политики. В следующем разделе вы создадите пользовательский объект групповой политики.
Замечание
Чтобы администрировать групповую политику в управляемом домене, необходимо войти в учетную запись пользователя, которая входит в группу администраторов контроллера домена AAD .
На начальном экране выберите "Администрирование". Отображается список доступных средств управления, включая управление групповыми политиками , установленное в предыдущем разделе.
Чтобы открыть консоль управления групповыми политиками (GPMC), выберите "Управление групповыми политиками".
В управляемом домене есть два встроенных объекта групповой политики ( один для контейнера компьютеров AADDC и один для контейнера пользователей AADDC . Эти объекты групповой политики можно настроить для настройки групповой политики по мере необходимости в управляемом домене.
В консоли управления групповыми политиками разверните лес: узел aaddscontoso.com . Затем разверните узлы "Домены ".
Для компьютеров AADDC и пользователей AADDC существуют два встроенных контейнера. К каждому из этих контейнеров применяется объект групповой политики по умолчанию.
Эти встроенные объекты групповой политики можно настроить для настройки определенных групповых политик в управляемом домене. Щелкните правой кнопкой мыши один из объектов групповой политики, например GPO компьютеров AADDC, а затем нажмите кнопку "Изменить...".
Откроется средство редактора управления групповыми политиками, чтобы настроить объект групповой политики, например политики учетных записей:
По завершении нажмите кнопку "Сохранить файл>", чтобы сохранить политику. Компьютеры обновляют групповую политику по умолчанию каждые 90 минут и применяют внесенные изменения.
Создание пользовательского объекта групповой политики
Для группировки аналогичных параметров политики часто создаются дополнительные объекты групповой политики вместо применения всех необходимых параметров в одном объекте групповой политики по умолчанию. С помощью доменных служб можно создавать или импортировать собственные объекты групповой политики и связывать их с пользовательским подразделением. Если необходимо сначала создать настраиваемую подразделение, см. статью о создании настраиваемого подразделения в управляемом домене.
В консоли управления групповыми политиками выберите настраиваемое подразделение (OU), например MyCustomOU. Щелкните правой кнопкой мыши подразделение и выберите команду "Создать объект групповой политики" в этом домене и свяжите его здесь...:
Укажите имя нового объекта групповой политики, например "Мой пользовательский объект групповой политики", а затем нажмите кнопку "ОК". Этот настраиваемый объект групповой политики можно использовать при необходимости в существующем объекте групповой политики и наборе параметров политики.
Пользовательский объект групповой политики создается и связан с пользовательским подразделением. Чтобы настроить параметры политики, щелкните правой кнопкой мыши настраиваемый объект групповой политики и нажмите кнопку "Изменить...".
Откроется редактор управления групповыми политиками, чтобы настроить объект групповой политики:
По завершении нажмите кнопку "Сохранить файл>", чтобы сохранить политику. Компьютеры обновляют групповую политику по умолчанию каждые 90 минут и применяют внесенные изменения.