správa Zásady skupiny ve spravované doméně služby Azure Active Directory Domain Services
Nastavení pro objekty uživatelů a počítačů ve službě Azure Active Directory Domain Services (Azure služba AD DS) se často spravují pomocí objektů Zásady skupiny (gpo). Azure služba AD DS obsahuje integrované objekty zásad skupiny pro kontejnery uživatelů AADDC a počítačů AADDC . Tyto předdefinované objekty zásad skupiny můžete přizpůsobit tak, aby Zásady skupiny podle potřeby pro vaše prostředí. Členové skupiny Správci domény Azure AD mají zásady skupiny oprávnění správce v doméně Azure služba AD DS a můžou také vytvářet vlastní objekty zásad skupiny a organizační jednotky (OU). Další informace o tom, co Zásady skupiny a jak funguje, najdete v tématu Zásady skupiny Overview.
V hybridním prostředí se zásady skupiny nakonfigurované v místních služba AD DS prostředí nesynchronizují s Azure služba AD DS. Pokud chcete definovat nastavení konfigurace pro uživatele nebo počítače v Azure služba AD DS, upravte jeden z výchozích objektů zásad skupiny nebo vytvořte vlastní objekt zásad skupiny.
V tomto článku se dozvíte, jak nainstalovat nástroje pro správu Zásady skupiny a pak upravit předdefinované objekty zásad skupiny a vytvořit vlastní objekty zásad skupiny.
Pokud vás zajímá strategii správy serveru, včetně počítačů v Azure a hybridních připojení, zvažte, jak převést zásady skupiny obsahu na funkci Konfigurace hosta v Azure Policy.
Než začnete
K dokončení tohoto článku potřebujete následující prostředky a oprávnění:
- Musíte mít aktivní předplatné Azure.
- Pokud nemáte předplatné Azure, vytvořte účet.
- tenant Azure Active Directory přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo jenom s cloudovým adresářem.
- v případě potřeby vytvořte tenanta Azure Active Directory nebo přidružte předplatné Azure k vašemu účtu.
- ve vašem tenantovi Azure AD je povolená a nakonfigurovaná doména spravovaná doménovou službou Azure Active Directory.
- v případě potřeby dokončete kurz vytvoření a konfigurace spravované domény Azure Active Directory domain Services.
- Windows virtuální počítač pro správu serveru, který je připojený ke spravované doméně Azure služba AD DS.
- v případě potřeby dokončete kurz a vytvořte virtuální počítač s Windows serverem a připojte ho ke spravované doméně.
- Uživatelský účet, který je členem skupiny správců řadičů domény Azure AD ve vašem TENANTOVI Azure AD.
Poznámka
Pomocí Zásady skupiny Šablony pro správu můžete zkopírovat nové šablony do pracovní stanice pro správu. Zkopírujte soubory . admx do %SYSTEMROOT%\PolicyDefinitions a zkopírujte soubory. ADML specifické pro národní prostředí do %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion] , kde Language-CountryRegion odpovídá jazyku a oblasti souborů . adml .
Zkopírujte například anglickou USA verzi souborů . adml do \en-us složky.
Instalace nástrojů pro správu Zásady skupiny
Pokud chcete vytvořit a nakonfigurovat objekt Zásady skupiny (GPO), musíte nainstalovat nástroje pro správu Zásady skupiny. tyto nástroje je možné nainstalovat jako funkci serveru Windows. další informace o tom, jak nainstalovat nástroje pro správu na klienta Windows, najdete v tématu install Nástroje pro vzdálenou správu serveru (RSAT).
Přihlaste se ke svému VIRTUÁLNÍmu počítači pro správu. postup, jak se připojit pomocí Azure Portal, najdete v tématu Připojení k virtuálnímu počítači Windows serveru.
Když se přihlásíte k virtuálnímu počítači, Správce serveru by se měly otevřít ve výchozím nastavení. Pokud ne, v nabídce Start vyberte Správce serveru.
V podokně řídicí panel v okně Správce serveru vyberte Přidat role a funkce.
Na stránce než začnete v Průvodci přidáním rolí a funkcí vyberte Další.
Pro typ instalace ponechte zaškrtnutou možnost instalace na základě rolí nebo na základě funkcí a vyberte Další.
Na stránce Výběr serveru zvolte aktuální virtuální počítač z fondu serverů, například myvm.aaddscontoso.com, a pak vyberte Další.
Na stránce role serveru klikněte na Další.
Na stránce funkce vyberte funkci správy Zásady skupiny .
Na stránce potvrzení vyberte nainstalovat. Instalace nástrojů pro správu Zásady skupiny může trvat minutu nebo dvě.
Po dokončení instalace funkce vyberte Zavřít a ukončete průvodce přidáním rolí a funkcí .
Otevření Konzola pro správu zásad skupiny a úprava objektu
Pro uživatele a počítače ve spravované doméně existují výchozí objekty zásad skupiny (GPO). Pomocí funkce správy Zásady skupiny nainstalované v předchozí části si můžeme zobrazit a upravit existující objekt zásad skupiny. V další části vytvoříte vlastní objekt zásad skupiny.
Poznámka
Chcete-li spravovat zásady skupiny ve spravované doméně, musíte být přihlášeni k uživatelskému účtu, který je členem skupiny správci AAD řadiče domény .
Z obrazovky Start vyberte Nástroje pro správu. Zobrazí se seznam dostupných nástrojů pro správu, včetně správy Zásady skupiny nainstalovanou v předchozí části.
Chcete-li otevřít konzolu Konzola pro správu zásad skupiny (GPMC), vyberte možnost Zásady skupiny Správa.
Existují dva předdefinované Zásady skupiny objekty (GPO) ve spravované doméně – jeden pro kontejner počítače AADDC a jeden pro kontejner AADDC Users . Tyto objekty zásad skupiny můžete přizpůsobit tak, aby podle potřeby v spravované doméně nakonfigurovaly zásady skupiny.
V konzole pro správu Zásady skupiny rozbalte uzel doménová struktura: aaddscontoso.com . Dále rozbalte uzly domény .
Pro počítače s AADDC a uživatele AADDC existují dva předdefinované kontejnery. U každého z těchto kontejnerů je použit výchozí objekt zásad skupiny.
Tyto předdefinované objekty zásad skupiny je možné přizpůsobit tak, aby v spravované doméně nakonfigurovaly konkrétní zásady skupiny. Pravým tlačítkem vyberte jeden z objektů zásad skupiny (GPO), třeba AADDC počítače, a pak zvolte Upravit....
Otevře se nástroj Editor pro správu zásad skupiny, který umožňuje přizpůsobení objektu zásad skupiny (GPO), jako jsou například Zásady účtů:
Až budete hotovi, vyberte soubor > Uložit a zásadu uložte. Počítače se ve výchozím nastavení aktualizují Zásady skupiny každých 90 minut a použijí změny, které jste provedli.
Vytvořit vlastní objekt Zásady skupiny
Pokud chcete seskupit podobná nastavení zásad, často se místo použití všech požadovaných nastavení v jednom výchozím objektu zásad skupiny vytvoří další objekty zásad skupiny. Pomocí Azure služba AD DS můžete vytvářet nebo importovat vlastní objekty zásad skupiny a propojit je s vlastní organizační jednotkou. Pokud potřebujete nejdřív vytvořit vlastní organizační jednotku, přečtěte si téma Vytvoření vlastní organizační jednotky ve spravované doméně.
V konzole pro správu Zásady skupiny vyberte vlastní organizační jednotku (OU), například MyCustomOU. Klikněte pravým tlačítkem myši na organizační jednotku a zvolte možnost vytvořit objekt zásad skupiny v této doméně a propojit jej sem...:
Zadejte název nového objektu zásad skupiny, třeba můj vlastní objekt zásad skupiny, a pak vyberte OK. Volitelně můžete tento vlastní objekt zásad skupiny založit na existujícím objektu zásad skupiny a sadě možností zásad.
Vlastní objekt zásad skupiny se vytvoří a propojí se s vlastní organizační jednotkou. Pokud teď chcete nakonfigurovat nastavení zásad, vyberte vlastní objekt zásad skupiny a zvolte Upravit...:
Otevře se Editor pro správu zásad skupiny , abyste mohli přizpůsobit objekt zásad skupiny:
Až budete hotovi, vyberte soubor > Uložit a zásadu uložte. Počítače se ve výchozím nastavení aktualizují Zásady skupiny každých 90 minut a použijí změny, které jste provedli.
Další kroky
Další informace o dostupných nastaveních Zásady skupiny, která můžete nakonfigurovat pomocí Konzola pro správu zásad skupiny, najdete v tématu work with zásady skupiny Item Preferences.