Администратор групповая политика в управляемом домене доменных служб Microsoft Entra

Практическое руководство
10/19/2023

Параметры для объектов пользователей и компьютеров в доменных службах Microsoft Entra часто управляются с помощью объектов групповой политики (GPO). Доменные службы включают встроенные объекты групповой политики для пользователей AADDC и контейнеров компьютеров AADDC. С помощью этих встроенных объектов групповой политики можно настроить групповую политику в соответствии с потребностями среды. Члены группы контроллера домена AAD Администратор istrator имеют права администрирования групповой политики в домене доменных служб, а также могут создавать пользовательские объекты групповой политики и организационные подразделения (OUS). Дополнительные сведения о том, что такое групповая политика и как она работает, см. в статье Общие сведения о групповой политике.

В гибридной среде групповые политики, настроенные в локальной среде AD DS, не синхронизируются с доменными службами. Чтобы определить параметры конфигурации для пользователей или компьютеров в доменных службах, измените один из стандартных объектов групповой политики или создайте пользовательский объект групповой политики.

В этой статье показано, как установить средства управления групповыми политиками, а затем изменить встроенные объекты групповой политики и создать пользовательские объекты групповой политики.

Если вы заинтересованы в стратегии управления сервером, включая компьютеры в Azure и гибридные подключения, ознакомьтесь со сведениями о функции гостевой конфигурации в Политике Azure.

Необходимые компоненты

Для работы с этой статьей требуются следующие ресурсы и разрешения:

Активная подписка Azure.
- Если у вас еще нет подписки Azure, создайте учетную запись.
Клиент Microsoft Entra, связанный с подпиской, либо синхронизирован с локальным каталогом или облачным каталогом.
- При необходимости создайте клиент Microsoft Entra или свяжите подписку Azure с вашей учетной записью.
Управляемый домен доменных служб Microsoft Entra включен и настроен в клиенте Microsoft Entra.
- При необходимости выполните инструкции по созданию и настройке управляемого домена доменных служб Microsoft Entra.
Виртуальная машина управления Windows Server, присоединенная к управляемому домену доменных служб.
- Если потребуется, выполните инструкции из руководства по созданию виртуальной машины Windows Server и ее присоединению к управляемому домену.
Учетная запись пользователя, являющаяся членом группы контроллера домена AAD dc Администратор istrator в клиенте Microsoft Entra.

Примечание.

Вы можете использовать административные шаблоны групповой политики, скопировав новые шаблоны на рабочую станцию управления. Скопируйте файлы ADMX в %SYSTEMROOT%\PolicyDefinitions и скопируйте файлы ADML для конкретного языкового стандарта в %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], где Language-CountryRegion соответствует языку и региону файлов ADML.

Например, скопируйте версии файлов ADML для английского языка (США) в папку \en-us.

Установка средств управления групповыми политиками

Для создания и настройки объекта групповой политики (GPO) необходимо установить средства управления групповыми политиками. Их можно установить как компонент Windows Server. Подробнее об установке средств администрирования на клиенте Windows см. в статье об установке средств удаленного администрирования сервера (RSAT).

Войдите на виртуальную машину управления. Инструкции по подключению с помощью Центра администрирования Microsoft Entra см. в Подключение виртуальной машине Windows Server.
При входе в виртуальную машину по умолчанию должен открываться диспетчер сервера. Если это не произойдет, откройте меню Пуск и выберите Диспетчер сервера.
На панели управления в окне диспетчера серверов щелкните Добавить роли и компоненты.
На странице Перед началом работы в мастере добавления ролей и компонентов щелкните Далее.
В разделе Тип установки оставьте флажок Установка ролей или компонентов и щелкните Далее.
На странице Выбор сервера выберите из пула серверов текущую виртуальную машину, например myvm.aaddscontoso.com, и щелкните Далее.
На странице Роли сервера нажмите кнопку Далее.
На странице Функции выберите Управление групповой политикой.
На странице Подтверждение щелкните Установить. Установка средств управления групповыми политиками может занять одну-две минуты.
Когда установка компонента завершится, нажмите кнопку Закрыть, чтобы выйти из мастера добавления ролей и компонентов.

Откройте консоль управления групповыми политиками и измените объект

Объекты групповой политики (GPO) по умолчанию существуют для пользователей и компьютеров в управляемом домене. Компонент управления групповыми политиками, установленный в предыдущем разделе, позволяет просматривать и редактировать существующий объект групповой политики. В следующем разделе вы создадите пользовательский объект групповой политики.

Примечание.

Чтобы администрировать групповую политику в управляемом домене, необходимо войти в учетную запись пользователя, которая входит в группу контроллеров домена AAD Администратор istrator.

На начальном экране выберите Администрирование. Отобразится список доступных средств управления, включая функцию Управление групповыми политиками, установленную в предыдущем разделе.
Чтобы открыть консоль управления групповыми политиками (GPMC), выберите Управление групповыми политиками.

В управляемом домене есть два встроенных объекта групповой политики (GPO) — один для контейнера Компьютеры AADDC, а другой — для контейнера Пользователи AADDC. Вы можете изменять эти объекты групповой политики, чтобы настраивать групповую политику необходимым образом в управляемом домене.

В консоли Управления групповыми политиками разверните узел Лес: aaddscontoso.com. Затем разверните узлы Домены.

Существует два встроенных контейнера для Компьютеры AADDC и Пользователи AADDC. К каждому из этих контейнеров применен объект групповой политики по умолчанию.
С помощью этих встроенных объектов групповой политики можно настроить определенные групповые политики в вашем управляемом домене. Щелкните правой кнопкой мыши один из объектов групповой политики, например Объект групповой политики "Компьютеры AADDC", а затем выберите Правка....
Откроется средство "Редактор управления групповыми политиками", позволяющее настроить объект групповой политики, например Политики учетных записей.

По завершении выберите Файл > Сохранить, чтобы сохранить политику. По умолчанию компьютеры обновляют групповую политику каждые 90 минут и применяют внесенные изменения.

Создание пользовательского объекта групповой политики

Для группирования аналогичных параметров политики часто имеет смысл создавать дополнительные объекты групповой политики, а не применять все необходимые параметры в одном объекте групповой политики по умолчанию. С помощью доменных служб можно создавать или импортировать собственные объекты групповой политики и связывать их с пользовательским подразделением. Если необходимо сначала создать пользовательское подразделение, см. статью о создании пользовательского подразделения в управляемом домене.

В консоли Управление групповыми политиками выберите пользовательские подразделение, например MyCustomOU. Щелкните подразделение правой кнопкой мыши и выберите пункт Создать объект групповой политики в этом домене и связать его...
Укажите имя для нового объекта групповой политики, например Мой пользовательский объект групповой политики, а затем нажмите кнопку ОК. Можно также создать этот пользовательский объект групповой политики на основе существующего объекта групповой политики и набора параметров политики.
Пользовательский объект групповой политики создается и связывается с пользовательским подразделением. Чтобы настроить параметры политики, щелкните правой кнопкой мыши пользовательский объект групповой политики и выберите пункт Правка...:
Откроется Редактор управления групповыми политиками, позволяющий настроить объект групповой политики:

По завершении выберите Файл > Сохранить, чтобы сохранить политику. По умолчанию компьютеры обновляют групповую политику каждые 90 минут и применяют внесенные изменения.