Verwalten von Gruppenrichtlinien in einer von Azure Active Directory Domain Services verwalteten DomäneAdminister Group Policy in an Azure Active Directory Domain Services managed domain

Einstellungen für Benutzer- und Computerobjekte in Azure Active Directory Domain Services (Azure AD DS) werden häufig über Gruppenrichtlinienobjekte (GPOs) verwaltet.Settings for user and computer objects in Azure Active Directory Domain Services (Azure AD DS) are often managed using Group Policy Objects (GPOs). Azure AD DS umfasst integrierte GPOs für die Container AADDC-Benutzer und AADDC-Computer.Azure AD DS includes built-in GPOs for the AADDC Users and AADDC Computers containers. Sie können diese integrierten GPOs anpassen, um die Gruppenrichtlinie nach Bedarf für Ihre Umgebung zu konfigurieren.You can customize these built-in GPOs to configure Group Policy as needed for your environment. Mitglieder der Gruppe Azure AD DC-Administratoren haben Gruppenrichtlinien-Administratorrechte in der Azure AD DS-Domäne und können auch benutzerdefinierte Gruppenrichtlinienobjekte und Organisationseinheiten erstellen.Members of the Azure AD DC administrators group have Group Policy administration privileges in the Azure AD DS domain, and can also create custom GPOs and organizational units (OUs). Weitere Informationen zu Gruppenrichtlinien und deren Funktionsweise finden Sie unter Übersicht über Gruppenrichtlinien.More more information on what Group Policy is and how it works, see Group Policy overview.

In einer Hybridumgebung werden die in einer lokalen AD DS-Umgebung konfigurierten Gruppenrichtlinien nicht mit Azure AD DS synchronisiert.In a hybrid environment, group policies configured in an on-premises AD DS environment aren't synchronized to Azure AD DS. Um Konfigurationseinstellungen für Benutzer oder Computer in Azure AD DS zu definieren, bearbeiten Sie eines der Standard-Gruppenrichtlinienobjekte, oder erstellen Sie ein benutzerdefiniertes Gruppenrichtlinienobjekt.To define configuration settings for users or computers in Azure AD DS, edit one of the default GPOs or create a custom GPO.

In diesem Artikel erfahren Sie, wie Sie die Gruppenrichtlinien-Verwaltungstools installieren, dann die integrierten GPOs bearbeiten und benutzerdefinierte GPOs erstellen.This article shows you how to install the Group Policy Management tools, then edit the built-in GPOs and create custom GPOs.

VoraussetzungenBefore you begin

Für diesen Artikel benötigen Sie die folgenden Ressourcen und Berechtigungen:To complete this article, you need the following resources and privileges:

Hinweis

Sie können administrative Vorlagen für Gruppenrichtlinien verwenden, indem Sie die neuen Vorlagen in die Verwaltungsarbeitsstation kopieren.You can use Group Policy Administrative Templates by copying the new templates to the management workstation. Kopieren Sie die ADMX-Dateien in das Verzeichnis %SYSTEMROOT%\PolicyDefinitions und die gebietsschemaspezifischen ADML-Dateien in das Verzeichnis %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], wobei Language-CountryRegion der Sprache und der Region der ADML-Dateien entspricht.Copy the .admx files into %SYSTEMROOT%\PolicyDefinitions and copy the locale-specific .adml files to %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], where Language-CountryRegion matches the language and region of the .adml files.

Kopieren Sie z. B. die Version „en-US (Englisch, USA)“ der ADML-Dateien in den Ordner \en-us.For example, copy the English, United States version of the .adml files into the \en-us folder.

Alternativ können Sie Ihre administrative Vorlage für Gruppenrichtlinien auf den Domänencontrollern, die Teil der verwalteten Domäne sind, zentral speichern.Alternatively, you can centrally store your Group Policy Administrative Template on the domain controllers that are part of the managed domain. Weitere Informationen finden Sie unter Erstellen und Verwalten des zentralen Speichers für administrative Vorlagendateien für Gruppenrichtlinien in Windows.For more information, see How to create and manage the Central Store for Group Policy Administrative Templates in Windows.

Installieren der Gruppenrichtlinien-VerwaltungstoolsInstall Group Policy Management tools

Um Gruppenrichtlinienobjekte (Group Policy Object, GPOs) zu erstellen und zu konfigurieren, müssen Sie die Gruppenrichtlinien-Verwaltungstools installieren.To create and configure Group Policy Object (GPOs), you need to install the Group Policy Management tools. Diese Tools können als Feature in Windows Server installiert werden.These tools can be installed as a feature in Windows Server. Weitere Informationen zum Installieren der Verwaltungstools auf einem Windows-Client finden Sie unter Installieren der Remoteserver-Verwaltungstools (RSAT).For more information on how to install the administrative tools on a Windows client, see install Remote Server Administration Tools (RSAT).

  1. Melden Sie sich bei Ihrer Verwaltungs-VM an.Sign in to your management VM. Weitere Informationen zu den Schritten zum Herstellen einer Verbindung mithilfe des Azure-Portals finden Sie unter Herstellen einer Verbindung mit einer Windows Server-VM.For steps on how to connect using the Azure portal, see Connect to a Windows Server VM.

  2. Der Server-Manager sollte standardmäßig geöffnet werden, wenn Sie sich bei der VM anmelden.Server Manager should open by default when you sign in to the VM. Wenn dies nicht der Fall ist, wählen Sie im Startmenü die Option Server-Manager aus.If not, on the Start menu, select Server Manager.

  3. Wählen Sie im Bereich Dashboard des Fensters Server-Manager die Option Rollen und Features hinzufügen aus.In the Dashboard pane of the Server Manager window, select Add Roles and Features.

  4. Klicken Sie auf der Seite Vorbereitung des Assistenten zum Hinzufügen von Rollen und Features auf Weiter.On the Before You Begin page of the Add Roles and Features Wizard, select Next.

  5. Lassen Sie für Installationstyp die Option Rollenbasierte oder featurebasierte Installation aktiviert, und wählen Sie Weiter aus.For the Installation Type, leave the Role-based or feature-based installation option checked and select Next.

  6. Wählen Sie auf der Seite Serverauswahl den aktuellen virtuellen Computer aus dem Serverpool aus (z. B. myvm.aaddscontoso.com), und wählen Sie dann Weiter aus.On the Server Selection page, choose the current VM from the server pool, such as myvm.aaddscontoso.com, then select Next.

  7. Klicken Sie auf der Seite Serverrollen auf Weiter.On the Server Roles page, click Next.

  8. Wählen Sie auf der Seite Features das Feature Gruppenrichtlinienverwaltung aus.On the Features page, select the Group Policy Management feature.

    Installieren der „Gruppenrichtlinienverwaltung“ über die Seite „Features“

  9. Wählen Sie auf der Seite Bestätigung die Option Installieren aus.On the Confirmation page, select Install. Die Installation der Tools für die Gruppenrichtlinienverwaltung kann ein bis zwei Minuten dauern.It may take a minute or two to install the Group Policy Management tools.

  10. Wenn die Installation des Features abgeschlossen ist, wählen Sie Schließen aus, um den Assistenten zum Hinzufügen von Rollen und Features zu beenden.When feature installation is complete, select Close to exit the Add Roles and Features wizard.

Öffnen der Gruppenrichtlinien-Verwaltungskonsole und Bearbeiten eines ObjektsOpen the Group Policy Management Console and edit an object

Für Benutzer und Computer in einer verwalteten Domäne sind Standard-Gruppenrichtlinienobjekte (GPOs) vorhanden.Default group policy objects (GPOs) exist for users and computers in a managed domain. Wenn das Feature zur Gruppenrichtlinienverwaltung aus dem vorherigen Abschnitt installiert ist, können wir ein vorhandenes Gruppenrichtlinienobjekt anzeigen und bearbeiten.With the Group Policy Management feature installed from the previous section, let's view and edit an existing GPO. Im nächsten Abschnitt erstellen Sie ein benutzerdefiniertes Gruppenrichtlinienobjekt.In the next section, you create a custom GPO.

Hinweis

Zum Verwalten einer Gruppenrichtlinie in einer verwalteten Domäne müssen Sie bei einem Benutzerkonto angemeldet sein, das Mitglied der Gruppe AAD DC-Administrators ist.To administer group policy in a managed domain, you must be signed in to a user account that's a member of the AAD DC Administrators group.

  1. Klicken Sie auf dem Startbildschirm auf Verwaltung.From the Start screen, select Administrative Tools. Es wird eine Liste der verfügbaren Verwaltungstools angezeigt, einschließlich der Gruppenrichtlinienverwaltung, die im vorherigen Abschnitt installiert wurde.A list of available management tools is shown, including Group Policy Management installed in the previous section.

  2. Wählen Sie Gruppenrichtlinienverwaltung aus, um die Gruppenrichtlinien-Verwaltungskonsole (GPMC) zu öffnen.To open the Group Policy Management Console (GPMC), choose Group Policy Management.

    Die Gruppenrichtlinien-Verwaltungskonsole wird geöffnet, um Gruppenrichtlinienobjekte zu bearbeiten.

Es gibt zwei integrierte Gruppenrichtlinienobjekte (GPOs) in einer verwalteten Domäne: eines für den Container AADDC-Computer und eines für den Container AADDC-Benutzer.There are two built-in Group Policy Objects (GPOs) in a managed domain - one for the AADDC Computers container, and one for the AADDC Users container. Sie können diese GPOs anpassen, um Gruppenrichtlinien nach Bedarf innerhalb Ihrer verwalteten Domäne zu konfigurieren.You can customize these GPOs to configure group policy as needed within your managed domain.

  1. Erweitern Sie in der Gruppenrichtlinien-Verwaltungskonsole den Knoten Gesamtstruktur: aaddscontoso.com.In the Group Policy Management console, expand the Forest: aaddscontoso.com node. Erweitern Sie anschließend die Domänen-Knoten.Next, expand the Domains nodes.

    Es gibt zwei integrierte Container für AADDC-Computer und AADDC-Benutzer.Two built-in containers exist for AADDC Computers and AADDC Users. Jedem dieser Container ist ein Standard-GPO zugeordnet.Each of these containers has a default GPO applied to them.

    Auf die standardmäßigen Container „AADDC-Computer“ und „AADDC-Benutzer“ angewandte integrierte GPOs

  2. Diese integrierten GPOs können angepasst werden, um bestimmte Gruppenrichtlinien für Ihre verwaltete Domäne zu konfigurieren.These built-in GPOs can be customized to configure specific group policies on your managed domain. Klicken Sie mit der rechten Maustaste auf eines der Gruppenrichtlinienobjekte (beispielsweise AADDC-Computer-GPO), und wählen Sie dann Bearbeiten... aus.Right-select one of the GPOs, such as AADDC Computers GPO, then choose Edit....

    Wählen Sie die Option zum Bearbeiten eines der integrierten Gruppenrichtlinienobjekte aus.

  3. Das Tool „Gruppenrichtlinienverwaltungs-Editor“ wird geöffnet, mit dem Sie das Gruppenrichtlinienobjekt anpassen können, z. B. Kontorichtlinien:The Group Policy Management Editor tool opens to let you customize the GPO, such as Account Policies:

    Screenshot des Gruppenrichtlinienverwaltungs-Editors.

    Wenn Sie fertig sind, wählen Sie Datei > Speichern, um die Richtlinie zu speichern.When done, choose File > Save to save the policy. Computer aktualisieren die Gruppenrichtlinie standardmäßig alle 90 Minuten und übernehmen die von Ihnen vorgenommenen Änderungen.Computers refresh Group Policy by default every 90 minutes and apply the changes you made.

Erstellen eines benutzerdefinierten GruppenrichtlinienobjektsCreate a custom Group Policy Object

Um ähnliche Richtlinieneinstellungen zu gruppieren, erstellen Sie häufig zusätzliche GPOs, anstatt alle erforderlichen Einstellungen in dem einzelnen, standardmäßigen GPO anzuwenden.To group similar policy settings, you often create additional GPOs instead of applying all of the required settings in the single, default GPO. Mit Azure AD DS können Sie Ihre eigenen benutzerdefinierten Gruppenrichtlinienobjekte erstellen oder importieren und diese mit einer benutzerdefinierten Organisationseinheit verknüpfen.With Azure AD DS, you can create or import your own custom group policy objects and link them to a custom OU. Wenn Sie zuerst eine benutzerdefinierte Organisationseinheit erstellen müssen, finden Sie weitere Informationen unter Erstellen einer benutzerdefinierten Organisationseinheit in einer verwalteten Domäne.If you need to first create a custom OU, see create a custom OU in a managed domain.

  1. Wählen Sie in der Konsole für die Gruppenrichtlinienverwaltung die benutzerdefinierte Organisationseinheit aus, z. B. MyCustomOU.In the Group Policy Management console, select your custom organizational unit (OU), such as MyCustomOU. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, und wählen Sie dann Gruppenrichtlinienobjekt hier erstellen und verknüpfen... aus.Right-select the OU and choose Create a GPO in this domain, and Link it here...:

    Erstellen eines benutzerdefinierten GPOs in der Gruppenrichtlinien-Verwaltungskonsole

  2. Geben Sie einen Namen für das neue GPO an, z. B. Mein benutzerdefiniertes GPO, und wählen Sie dann OK aus.Specify a name for the new GPO, such as My custom GPO, then select OK. Sie können dieses benutzerdefinierte GPO optional auf einem vorhandenen GPO und einer Reihe von Richtlinienoptionen aufbauen.You can optionally base this custom GPO on an existing GPO and set of policy options.

    Geben Sie einen Namen für das neue benutzerdefinierte Gruppenrichtlinienobjekt an.

  3. Das benutzerdefinierte GPO wird erstellt und mit Ihrer benutzerdefinierten Organisationseinheit verknüpft.The custom GPO is created and linked to your custom OU. Klicken Sie mit der rechten Maustaste auf das benutzerdefinierte GPO, und wählen Sie Bearbeiten... aus, um jetzt die Richtlinieneinstellungen zu konfigurieren:To now configure the policy settings, right-select the custom GPO and choose Edit...:

    Wählen Sie die Option zum Bearbeiten des benutzerdefinierten Gruppenrichtlinienobjekts aus.

  4. Der Gruppenrichtlinienverwaltungs-Editor wird geöffnet, mit dem Sie das Gruppenrichtlinienobjekt anpassen können:The Group Policy Management Editor opens to let you customize the GPO:

    Anpassen des Gruppenrichtlinienobjekts zum bedarfsgesteuerten Konfigurieren der Einstellungen

    Wenn Sie fertig sind, wählen Sie Datei > Speichern, um die Richtlinie zu speichern.When done, choose File > Save to save the policy. Computer aktualisieren die Gruppenrichtlinie standardmäßig alle 90 Minuten und übernehmen die von Ihnen vorgenommenen Änderungen.Computers refresh Group Policy by default every 90 minutes and apply the changes you made.

Nächste SchritteNext steps

Weitere Informationen zu den verfügbaren Gruppenrichtlinieneinstellungen, die Sie über die Gruppenrichtlinien-Verwaltungskonsole konfigurieren können, finden Sie unter Arbeiten mit Gruppenrichtlinien-Einstellungselementen.For more information on the available Group Policy settings that you can configure using the Group Policy Management Console, see Work with Group Policy preference items.