Verwalten von Gruppenrichtlinien in einer von Microsoft Entra Domain Services verwalteten Domäne

Einstellungen für Benutzer- und Computerobjekte in Microsoft Entra Domain Services werden häufig über Gruppenrichtlinienobjekte (GPOs) verwaltet. Domain Services umfasst integrierte GPOs für die Container AADDC-Benutzer und AADDC-Computer. Sie können diese integrierten GPOs anpassen, um die Gruppenrichtlinie nach Bedarf für Ihre Umgebung zu konfigurieren. Mitglieder der Gruppe Microsoft Entra DC-Administratoren haben Gruppenrichtlinien-Administratorrechte in der Domain Services-Domäne und können auch benutzerdefinierte Gruppenrichtlinienobjekte und Organisationseinheiten erstellen. Weitere Informationen zu Gruppenrichtlinien und deren Funktionsweise finden Sie unter Übersicht über Gruppenrichtlinien.

In einer Hybridumgebung werden die in einer lokalen AD DS-Umgebung konfigurierten Gruppenrichtlinien nicht mit Domain Services synchronisiert. Um Konfigurationseinstellungen für Benutzer oder Computer in Domain Services zu definieren, bearbeiten Sie eines der Standard-Gruppenrichtlinienobjekte, oder erstellen Sie ein benutzerdefiniertes Gruppenrichtlinienobjekt.

In diesem Artikel erfahren Sie, wie Sie die Gruppenrichtlinien-Verwaltungstools installieren, dann die integrierten GPOs bearbeiten und benutzerdefinierte GPOs erstellen.

Wenn Sie an einer Serververwaltungsstrategie interessiert sind, einschließlich Computern in Azure und mit Hybridverbindung, sollten Sie die Informationen zum Gastkonfigurationsfeature von Azure Policy lesen.

Voraussetzungen

Für diesen Artikel benötigen Sie die folgenden Ressourcen und Berechtigungen:

• Ein aktives Azure-Abonnement.
  • Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto.
• Einen mit Ihrem Abonnement verknüpften Microsoft Entra-Mandanten, der entweder mit einem lokalen Verzeichnis synchronisiert oder ein reines Cloudverzeichnis ist.
  • Erstellen Sie einen Microsoft Entra-Mandanten, oder verknüpfen Sie ein Azure-Abonnement mit Ihrem Konto, sofern erforderlich.
• Eine von Microsoft Entra Domain Services verwaltete Domäne, die in Ihrem Microsoft Entra-Mandanten aktiviert und konfiguriert ist.
  • Bearbeiten Sie bei Bedarf das Tutorial Erstellen und Konfigurieren einer verwalteten Microsoft Entra Domain Services-Domäne.
• Eine Windows Server-Verwaltungs-VM, die in die verwaltete Domain Services-Domäne eingebunden ist.
  • Führen Sie bei Bedarf die Schritte im Tutorial zum Erstellen einer Windows Server-VM und Einbinden der VM in eine verwaltete Domäne aus.
• Ein Benutzerkonto, das Mitglied der Gruppe Microsoft Entra DC-Administratoren in Ihrem Microsoft Entra-Mandanten ist.

Hinweis

Sie können administrative Vorlagen für Gruppenrichtlinien verwenden, indem Sie die neuen Vorlagen in die Verwaltungsarbeitsstation kopieren. Kopieren Sie die ADMX-Dateien in das Verzeichnis %SYSTEMROOT%\PolicyDefinitions und die gebietsschemaspezifischen ADML-Dateien in das Verzeichnis %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], wobei Language-CountryRegion der Sprache und der Region der ADML-Dateien entspricht.

Kopieren Sie z. B. die Version „en-US (Englisch, USA)“ der ADML-Dateien in den Ordner \en-us.

Installieren der Gruppenrichtlinien-Verwaltungstools

Um Gruppenrichtlinienobjekte (Group Policy Object, GPOs) zu erstellen und zu konfigurieren, müssen Sie die Gruppenrichtlinien-Verwaltungstools installieren. Diese Tools können als Feature in Windows Server installiert werden. Weitere Informationen zum Installieren der Verwaltungstools auf einem Windows-Client finden Sie unter Installieren der Remoteserver-Verwaltungstools (RSAT).

1. Melden Sie sich bei Ihrer Verwaltungs-VM an. Die Schritte zur Verbindungsherstellung mit dem Microsoft Entra Admin Center finden Sie unter Herstellen einer Verbindung mit einer Windows Server-VM.

2. Der Server-Manager sollte standardmäßig geöffnet werden, wenn Sie sich bei der VM anmelden. Wenn dies nicht der Fall ist, wählen Sie im Startmenü die Option Server-Manager aus.

3. Wählen Sie im Bereich Dashboard des Fensters Server-Manager die Option Rollen und Features hinzufügen aus.

4. Klicken Sie auf der Seite Vorbereitung des Assistenten zum Hinzufügen von Rollen und Features auf Weiter.

5. Lassen Sie für Installationstyp die Option Rollenbasierte oder featurebasierte Installation aktiviert, und wählen Sie Weiter aus.

6. Wählen Sie auf der Seite Serverauswahl den aktuellen virtuellen Computer aus dem Serverpool aus (z. B. myvm.aaddscontoso.com), und wählen Sie dann Weiter aus.

7. Klicken Sie auf der Seite Serverrollen auf Weiter.

8. Wählen Sie auf der Seite Features das Feature Gruppenrichtlinienverwaltung aus.

   

9. Wählen Sie auf der Seite Bestätigung die Option Installieren aus. Die Installation der Tools für die Gruppenrichtlinienverwaltung kann ein bis zwei Minuten dauern.

10. Wenn die Installation des Features abgeschlossen ist, wählen Sie Schließen aus, um den Assistenten zum Hinzufügen von Rollen und Features zu beenden.

Öffnen der Gruppenrichtlinien-Verwaltungskonsole und Bearbeiten eines Objekts

Für Benutzer und Computer in einer verwalteten Domäne sind Standard-Gruppenrichtlinienobjekte (GPOs) vorhanden. Wenn das Feature zur Gruppenrichtlinienverwaltung aus dem vorherigen Abschnitt installiert ist, können wir ein vorhandenes Gruppenrichtlinienobjekt anzeigen und bearbeiten. Im nächsten Abschnitt erstellen Sie ein benutzerdefiniertes Gruppenrichtlinienobjekt.

Hinweis

Zum Verwalten einer Gruppenrichtlinie in einer verwalteten Domäne müssen Sie bei einem Benutzerkonto angemeldet sein, das Mitglied der Gruppe AAD DC-Administrators ist.

1. Klicken Sie auf dem Startbildschirm auf Verwaltung. Es wird eine Liste der verfügbaren Verwaltungstools angezeigt, einschließlich der Gruppenrichtlinienverwaltung, die im vorherigen Abschnitt installiert wurde.

2. Wählen Sie Gruppenrichtlinienverwaltung aus, um die Gruppenrichtlinien-Verwaltungskonsole (GPMC) zu öffnen.

   

Es gibt zwei integrierte Gruppenrichtlinienobjekte (GPOs) in einer verwalteten Domäne: eines für den Container AADDC-Computer und eines für den Container AADDC-Benutzer. Sie können diese GPOs anpassen, um Gruppenrichtlinien nach Bedarf innerhalb Ihrer verwalteten Domäne zu konfigurieren.

1. Erweitern Sie in der Gruppenrichtlinien-Verwaltungskonsole den Knoten Gesamtstruktur: aaddscontoso.com. Erweitern Sie anschließend die Domänen-Knoten.

   Es gibt zwei integrierte Container für AADDC-Computer und AADDC-Benutzer. Jedem dieser Container ist ein Standard-GPO zugeordnet.

   

2. Diese integrierten GPOs können angepasst werden, um bestimmte Gruppenrichtlinien für Ihre verwaltete Domäne zu konfigurieren. Klicken Sie mit der rechten Maustaste auf eines der Gruppenrichtlinienobjekte (beispielsweise AADDC-Computer-GPO), und wählen Sie dann Bearbeiten... aus.

   

3. Das Tool „Gruppenrichtlinienverwaltungs-Editor“ wird geöffnet, mit dem Sie das Gruppenrichtlinienobjekt anpassen können, z. B. Kontorichtlinien:

   

   Wenn Sie fertig sind, wählen Sie Datei > Speichern aus, um die Richtlinie zu speichern. Computer aktualisieren die Gruppenrichtlinie standardmäßig alle 90 Minuten und übernehmen die von Ihnen vorgenommenen Änderungen.

Erstellen eines benutzerdefinierten Gruppenrichtlinienobjekts

Um ähnliche Richtlinieneinstellungen zu gruppieren, erstellen Sie häufig zusätzliche GPOs, anstatt alle erforderlichen Einstellungen in dem einzelnen, standardmäßigen GPO anzuwenden. Mit Domain Services können Sie Ihre eigenen benutzerdefinierten Gruppenrichtlinienobjekte erstellen oder importieren und diese mit einer benutzerdefinierten Organisationseinheit verknüpfen. Wenn Sie zuerst eine benutzerdefinierte Organisationseinheit erstellen müssen, finden Sie weitere Informationen unter Erstellen einer benutzerdefinierten Organisationseinheit in einer verwalteten Domäne.

1. Wählen Sie in der Konsole für die Gruppenrichtlinienverwaltung die benutzerdefinierte Organisationseinheit aus, z. B. MyCustomOU. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, und wählen Sie dann Gruppenrichtlinienobjekt hier erstellen und verknüpfen... aus.

   

2. Geben Sie einen Namen für das neue GPO an, z. B. Mein benutzerdefiniertes GPO, und wählen Sie dann OK aus. Sie können dieses benutzerdefinierte GPO optional auf einem vorhandenen GPO und einer Reihe von Richtlinienoptionen aufbauen.

   

3. Das benutzerdefinierte GPO wird erstellt und mit Ihrer benutzerdefinierten Organisationseinheit verknüpft. Klicken Sie mit der rechten Maustaste auf das benutzerdefinierte GPO, und wählen Sie Bearbeiten... aus, um jetzt die Richtlinieneinstellungen zu konfigurieren:

   

4. Der Gruppenrichtlinienverwaltungs-Editor wird geöffnet, mit dem Sie das Gruppenrichtlinienobjekt anpassen können:

   

   Wenn Sie fertig sind, wählen Sie Datei > Speichern aus, um die Richtlinie zu speichern. Computer aktualisieren die Gruppenrichtlinie standardmäßig alle 90 Minuten und übernehmen die von Ihnen vorgenommenen Änderungen.

Nächste Schritte

Weitere Informationen zu den verfügbaren Gruppenrichtlinieneinstellungen, die Sie über die Gruppenrichtlinien-Verwaltungskonsole konfigurieren können, finden Sie unter Arbeiten mit Gruppenrichtlinien-Einstellungselementen.