Administrer les objets de stratégie de groupe sur un domaine managé Microsoft Entra Domain Services

Les paramètres des objets utilisateur et ordinateur dans Microsoft Entra Domain Services sont souvent managés à l’aide d’objets de stratégie de groupe (GPO). Domain Services inclut des objets de stratégie de groupe intégrés pour les conteneurs Utilisateurs AADDC et Ordinateurs AADDC. Vous pouvez personnaliser ces objets de stratégie de groupe intégrés pour configurer la stratégie de groupe selon les besoins de votre environnement. Les membres du groupe Administrateurs Microsoft Entra DC disposent de privilèges d’administration de stratégie de groupe pour le domaine managé Domain Services et peuvent également créer des objets de stratégie de groupe et des unités d’organisation (OU) personnalisés. Pour plus d’informations sur la stratégie de groupe et son fonctionnement, consultez la page Vue d’ensemble de la stratégie de groupe.

Dans un environnement hybride, les stratégies de groupe configurées dans un environnement AD DS local ne sont pas synchronisées avec Domain Services. Pour définir les paramètres de configuration des utilisateurs ou des ordinateurs dans Domain Services, modifiez l’un des objets de stratégie de groupe par défaut ou créez un objet de stratégie de groupe personnalisé.

Cet article indique comment installer les outils de gestion de stratégie de groupe, modifier les objets de stratégie de groupe intégrés et créer des objets de stratégie de groupe personnalisés.

Si vous vous intéressez à la stratégie de gestion des serveurs, y compris les machines Azure et hybrides connectées, pensez à lire sur l’article sur la fonctionnalité configuration Invité d’Azure Policy.

Avant de commencer

Pour faire ce qui est décrit dans cet article, vous avez besoin des ressources et des privilèges suivants :

Remarque

Vous pouvez utiliser des modèles d'administration de stratégies de groupe en copiant les nouveaux modèles sur la station de travail de gestion. Copiez les fichiers .admx sous %SYSTEMROOT%\PolicyDefinitions et copiez les fichiers .adml spécifiques à l'environnement local sous %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], sachant que Language-CountryRegion correspond à la langue et à la région des fichiers .adml.

Par exemple, copiez la version Anglais (États-Unis) des fichiers .adml dans le dossier \en-us.

Installez les outils de gestion de stratégie de groupe

Pour créer et configurer les objets de stratégie de groupe (GPO), vous devez installer les outils de gestion de stratégie de groupe. Ces outils peuvent être installés en tant que fonctionnalité de Windows Server. Pour plus d’informations sur l’installation des outils d’administration sur un client Windows, consultez Installer les outils d’administration de serveur distant.

  1. Connectez-vous à votre machine virtuelle de gestion. Pour savoir comment se connecter à l’aide du centre d’administration Microsoft Entra, consultez Se connecter à une machine virtuelle Windows Server.

  2. Le Gestionnaire de serveur doit s’ouvrir par défaut quand vous vous connectez à la machine virtuelle. Si ce n’est pas le cas, dans le menu Démarrer, sélectionnez Gestionnaire de serveur.

  3. Dans le volet Tableau de bord de la fenêtre Gestionnaire de serveur, sélectionnez Ajouter des rôles et des fonctionnalités.

  4. Dans la page Avant de commencer de l’Assistant Ajout de rôles et de fonctionnalités, sélectionnez Suivant.

  5. Pour le Type d’installation, laissez l’option Installation basée sur un rôle ou une fonctionnalité cochée et sélectionnez Suivant.

  6. Dans la page Sélection du serveur, choisissez la machine virtuelle actuelle dans le pool de serveurs, par exemple myvm.aaddscontoso.com, puis sélectionnez Suivant.

  7. Sur la page Rôles de serveurs, cliquez sur Suivant.

  8. Sur la page Fonctionnalités, sélectionnez la fonctionnalité Gestion des stratégies de groupe.

    Install the 'Group Policy Management' from the Features page

  9. Dans la page Confirmation, sélectionnez Installer. L’installation des outils de gestion des stratégies de groupe peut prendre une ou deux minutes.

  10. Une fois l’installation de la fonctionnalité terminée, sélectionnez Fermer pour quitter l’Assistant Ajout de rôles et de fonctionnalités.

Ouvrez la Console de gestion des stratégies de groupe et modifiez un objet

Il existe des objets de stratégie de groupe (GPO) par défaut pour les utilisateurs et les ordinateurs dans un domaine managé. La fonctionnalité de gestion des stratégie de groupe étant installée grâce à la section précédente, nous allons pouvoir afficher et modifier un objet de stratégie de groupe existant. Dans la section suivante, vous allez créer un objet de stratégie de groupe personnalisé.

Notes

Pour administrer une stratégie de groupe dans un domaine managé, vous devez être connecté à un compte d’utilisateur membre du groupe d’administrateurs AAD DDC.

  1. Dans l’écran d’accueil, sélectionnez Outils d’administration. Une liste des outils de gestion disponibles s’affiche, dont la gestion des stratégie de groupe installée dans la section précédente.

  2. Cliquez sur Gestion des stratégies de groupe pour ouvrir la console de gestion des stratégies de groupe (GPMC).

    The Group Policy Management Console opens ready to edit group policy objects

Il existe deux objets de stratégie de groupe (GPO) intégrés dans un domaine managé : un pour le conteneur Ordinateurs AADDC et un autre pour le conteneur AADDC utilisateurs. Vous pouvez personnaliser ces objets de stratégie de groupe pour configurer la stratégie de groupe selon vos besoins dans votre domaine managé.

  1. Dans la console Gestion des stratégies de groupe, développez le nœud Forest: aaddscontoso.com. Ensuite, développez les nœuds Domaines.

    Il existe deux conteneurs pour Ordinateurs AADDC et Utilisateurs AADDC. Un objet de stratégie de groupe par défaut est appliqué à chacun de ces conteneurs.

    Built-in GPOs applied to the default 'AADDC Computers' and 'AADDC Users' containers

  2. Ces objets de stratégie de groupe intégrés peuvent être personnalisés pour configurer des stratégies de groupe particulières sur votre domaine managé. Cliquez avec le bouton droit sur l’un des objets de stratégie de groupe, tel que Objets de stratégie de groupe ordinateurs AADDC, puis choisissez Modifier... .

    Choose the option to 'Edit' one of the built-in GPOs

  3. L’outil Éditeur de gestion des stratégies de groupe s’ouvre pour vous permettre de personnaliser l’objet de stratégie de groupe, comme les stratégies de compte :

    Screenshot of the Group Policy Management Editor.

    Lorsque vous avez terminé, sélectionnez Fichier > Enregistrer pour enregistrer la stratégie. Les ordinateurs actualisent la stratégie de groupe par défaut toutes les 90 minutes et appliquent les modifications que vous avez apportées.

Créez un objet de stratégie de groupe personnalisé

Pour regrouper des paramètres de stratégie similaires, vous créez souvent des objets de stratégie de groupe supplémentaires au lieu d’appliquer tous les paramètres requis dans le l’objet de stratégie de groupe unique par défaut. Avec Domain Services, vous pouvez créer ou importer vos propres objets de stratégie de groupe personnalisés et les associer à une unité d’organisation personnalisée. Si vous devez d’abord créer une unité d’organisation personnalisée, consultez la page Créer une unité d’organisation personnalisée dans un domaine managé.

  1. Dans la console gestion des stratégies de groupe, sélectionnez votre unité d’organisation personnalisée (OU), telle que MyCustomOU. Cliquez avec le bouton droit sur l’unité d’organisation puis sélectionnez Créer un objet de stratégie de groupe et le lier ici… :

    Create a custom GPO in the Group Policy Management console

  2. Indiquez le nom du nouvel objet de stratégie de groupe, tel que Mon objet de stratégie de groupe personnalisé, puis sélectionnez OK. Vous pouvez éventuellement baser cet objet de stratégie de groupe personnalisé sur un objet de stratégie de groupe existant et un ensemble d’options de stratégie.

    Specify a name for the new custom GPO

  3. Un objet de stratégie de groupe est créé et associé à votre unité d’organisation personnalisée. Pour configurer les paramètres de stratégie, cliquez avec le bouton droit sur l’objet de stratégie de groupe personnalisé et sélectionnez Modifier… :

    Choose the option to 'Edit' your custom GPO

  4. L’outil Éditeur de gestion des stratégies de groupe s’ouvre pour vous permettre de personnaliser l’objet de stratégie de groupe :

    Customize GPO to configure settings as required

    Lorsque vous avez terminé, sélectionnez Fichier > Enregistrer pour enregistrer la stratégie. Les ordinateurs actualisent la stratégie de groupe par défaut toutes les 90 minutes et appliquent les modifications que vous avez apportées.

Étapes suivantes

Pour plus d’informations sur les paramètres de stratégie de groupe disponibles et que vous pouvez configurer à l’aide de la console de gestion des stratégies de groupe, consultez la page Utiliser les éléments de préférence de stratégie de groupe.