Amministrare Criteri di gruppo in un dominio gestito di Azure AD Domain ServicesAdminister Group Policy on an Azure AD Domain Services managed domain

Azure Active Directory Domain Services include oggetti Criteri di gruppo (GPO) predefiniti per i contenitori "AADDC Users" e "AADDC Computers".Azure Active Directory Domain Services includes built-in Group Policy Objects (GPOs) for the 'AADDC Users' and 'AADDC Computers' containers. È possibile personalizzare questi oggetti Criteri di gruppo predefiniti per configurare Criteri di gruppo nel dominio gestito.You can customize these built-in GPOs to configure Group Policy on the managed domain. Inoltre, i membri del gruppo "AAD DC Administrators" possono creare le proprie unità organizzative nel dominio gestito.Additionally, members of the 'AAD DC Administrators' group can create their own custom OUs in the managed domain. Possono inoltre creare oggetti Criteri di gruppo personalizzati e collegarli a tali unità organizzative.They can also create custom GPOs and link them to these custom OUs. Agli utenti che appartengono al gruppo "AAD DC Administrators" vengono concessi privilegi di amministrazione di Criteri di gruppo nel dominio gestito.Users who belong to the 'AAD DC Administrators' group are granted Group Policy administration privileges on the managed domain.

Importante

Abilitare la sincronizzazione dell'hash password ad Azure Active Directory Domain Services, prima di aver completato le attività in questo articolo.Enable password hash synchronization to Azure AD Domain Services, before you complete the tasks in this article.

Seguire le istruzioni seguenti, a seconda del tipo di utenti in Azure Active Directory.Follow the instructions below, depending on the type of users in your Azure AD directory. Se in Azure Active Directory è presente una combinazione di account utente solo cloud e sincronizzati, completare entrambi i set di istruzioni.Complete both sets of instructions if you have a mix of cloud-only and synced user accounts in your Azure AD directory.

Prima di iniziareBefore you begin

Per eseguire le attività elencate in questo articolo sono necessari gli elementi seguenti:To perform the tasks listed in this article, you need:

  1. Una sottoscrizione di Azurevalida.A valid Azure subscription.
  2. Una directory di Azure AD sincronizzata con una directory locale o con una directory solo cloud.An Azure AD directory - either synchronized with an on-premises directory or a cloud-only directory.
  3. Servizi di dominio Azure AD devono essere abilitati per la directory di Azure AD.Azure AD Domain Services must be enabled for the Azure AD directory. Se non è stato fatto, eseguire tutte le attività descritte nella guida introduttiva.If you haven't done so, follow all the tasks outlined in the Getting Started guide.
  4. Una macchina virtuale aggiunta al dominio da cui si amministrerà il dominio gestito di Servizi di dominio Azure AD.A domain-joined virtual machine from which you administer the Azure AD Domain Services managed domain. Se non è disponibile una macchina virtuale di questo tipo, seguire tutte le attività illustrate nell'articolo Aggiungere una macchina virtuale Windows Server a un dominio gestito.If you don't have such a virtual machine, follow all the tasks outlined in the article titled Join a Windows virtual machine to a managed domain.
  5. È necessario disporre delle credenziali di un account utente appartenente al gruppo "AAD DC Administrators" nella directory per poter amministrare i criteri di gruppo per il dominio gestito.You need the credentials of a user account belonging to the 'AAD DC Administrators' group in your directory, to administer Group Policy for your managed domain.


Attività 1: Eseguire il provisioning di una macchina virtuale aggiunta a un dominio per amministrare in remoto i criteri di gruppo per il dominio gestitoTask 1 - Provision a domain-joined virtual machine to remotely administer Group Policy for the managed domain

I domini gestiti di Servizi di dominio Azure AD possono essere gestiti in remoto con i familiari strumenti di amministrazione di Active Directory, ad esempio il Centro di amministrazione di Active Directory o AD PowerShell.Azure AD Domain Services managed domains can be managed remotely using familiar Active Directory administrative tools such as the Active Directory Administrative Center (ADAC) or AD PowerShell. Analogamente, i criteri di gruppo per il dominio gestito possono essere amministrati in remoto usando gli strumenti di amministrazione dei criteri di gruppo.Similarly, Group Policy for the managed domain can be administered remotely using the Group Policy administration tools.

Gli amministratori nella directory di Azure AD non hanno i privilegi necessari per connettersi ai controller di dominio nel dominio gestito con Desktop remoto.Administrators in your Azure AD directory do not have privileges to connect to domain controllers on the managed domain via Remote Desktop. I membri del gruppo "AAD DC Administrators" possono amministrare da remoto i criteri di gruppo per i domini gestiti.Members of the 'AAD DC Administrators' group can administer Group Policy for managed domains remotely. Possono utilizzare gli strumenti dei criteri di gruppo su un computer Windows Server/client aggiunto al dominio gestito.They can use Group Policy tools on a Windows Server/client computer joined to the managed domain. La funzionalità Strumenti per criteri di gruppo può essere installata come parte della funzionalità facoltativa di gestione dei criteri di gruppo in Windows Server e nei computer client aggiunti al dominio gestito.Group Policy tools can be installed as part of the Group Policy Management optional feature on Windows Server and client machines joined to the managed domain.

La prima attività consiste nel provisioning di una macchina virtuale Windows Server aggiunta al dominio gestito.The first task is to provision a Windows Server virtual machine that is joined to the managed domain. Per istruzioni, vedere l'articolo Aggiungere una macchina virtuale Windows Server a un dominio gestito.For instructions, refer to the article titled join a Windows Server virtual machine to an Azure AD Domain Services managed domain.

Attività 2: Installare gli strumenti per i criteri di gruppo nella macchina virtualeTask 2 - Install Group Policy tools on the virtual machine

Eseguire questa procedura per installare gli strumenti di amministrazione dei criteri di gruppo nella macchina virtuale aggiunta a un dominio.Perform the following steps to install the Group Policy Administration tools on the domain joined virtual machine.

  1. Passare al portale di Azure.Navigate to the Azure portal. Fare clic su Tutte le risorse nel pannello a sinistra.Click All resources on the left-hand panel. Individuare e fare clic sulla macchina virtuale creata nell'attività 1.Locate and click the virtual machine you created in Task 1.
  2. Fare clic su sul pulsante Connetti nella scheda Panoramica. Viene creato e scaricato un file Remote Desktop Protocol con estensione rdp.Click the Connect button on the Overview tab. A Remote Desktop Protocol (.rdp) file is created and downloaded.

    Connettersi alla macchina virtuale Windows

  3. Per connettersi alla VM, aprire il file RDP scaricato.To connect to your VM, open the downloaded RDP file. Se richiesto, fare clic su Connetti.If prompted, click Connect. Al prompt di accesso usare le credenziali di un utente appartenente al gruppo "AAD DC Administrators".At the login prompt, use the credentials of a user belonging to the 'AAD DC Administrators' group. In questo caso ad esempio, si usa 'bob@domainservicespreview.onmicrosoft.com'.For example, we use 'bob@domainservicespreview.onmicrosoft.com' in our case. Durante il processo di accesso potrebbe essere visualizzato un avviso relativo al certificato.You may receive a certificate warning during the sign-in process. Fare clic su Sì o Continua per procedere con la connessione.Click Yes or Continue to proceed with the connection.
  4. Dalla schermata Start aprire Server Manager.From the Start screen, open Server Manager. Fare clic su Aggiungi ruoli e funzionalità nel riquadro centrale della finestra di Server Manager.Click Add Roles and Features in the central pane of the Server Manager window.

    Avviare Server Manager nella macchina virtuale

  5. Nella pagina Prima di iniziare dell'aggiunta guidata ruoli e funzionalità fare clic su Avanti.On the Before You Begin page of the Add Roles and Features Wizard, click Next.

    Pagina Prima di iniziare

  6. Nella pagina Tipo di installazione lasciare selezionata l'opzione Installazione basata su ruoli o basata su funzionalità e fare clic su Avanti.On the Installation Type page, leave the Role-based or feature-based installation option checked and click Next.

    Pagina Tipo di installazione

  7. Nella pagina Selezione server selezionare la macchina virtuale corrente dal pool di server e fare clic su Avanti.On the Server Selection page, select the current virtual machine from the server pool, and click Next.

    Pagina Selezione dei server

  8. Nella pagina Ruoli del server fare clic su Avanti.On the Server Roles page, click Next. Questa pagina verrà ignorata perché non si stanno installando ruoli nel server.We skip this page since we are not installing any roles on the server.
  9. Nella pagina Funzionalità, selezionare Gestione Criteri di gruppo.On the Features page, select the Group Policy Management feature.

    Pagina Funzionalità

  10. Nella pagina Conferma fare clic su Installa per installare la funzionalità Gestione Criteri di gruppo nella macchina virtuale.On the Confirmation page, click Install to install the Group Policy Management feature on the virtual machine. Dopo aver completato correttamente l'installazione della funzionalità, fare clic su Chiudi per uscire dall'aggiunta guidata ruoli e funzionalità.When feature installation completes successfully, click Close to exit the Add Roles and Features wizard.

    Pagina di conferma

Attività 3: Avviare la console di gestione di Criteri di gruppo per amministrare Criteri di gruppoTask 3 - Launch the Group Policy management console to administer Group Policy

È possibile utilizzare la console di gestione di Criteri di gruppo nella macchina virtuale aggiunta al dominio per amministrare Criteri di gruppo nel dominio gestito.You can use the Group Policy management console on the domain-joined virtual machine to administer Group Policy on the managed domain.

Nota

È necessario essere un membro del gruppo "AAD DC Administrators" per poter amministrare Criteri di gruppo nel dominio gestito.You need to be a member of the 'AAD DC Administrators' group, to administer Group Policy on the managed domain.

  1. Dalla schermata Start fare clic su Strumenti di amministrazione.From the Start screen, click Administrative Tools. Verrà visualizzata la console Gestione Criteri di gruppo installata nella macchina virtuale.You should see the Group Policy Management console installed on the virtual machine.

    Avviare Gestione Criteri di gruppo

  2. Fare clic su Gestione Criteri di gruppo per avviare la relativa console.Click Group Policy Management to launch the Group Policy Management console.

    Console Criteri di gruppo

Attività 4: personalizzare gli Oggetti Criteri di gruppo predefinitiTask 4 - Customize built-in Group Policy Objects

Sono presenti due oggetti Criteri di gruppo predefiniti nel dominio gestito, uno per il contenitore "AADDC Computers" e uno per il contenitore "AADDC Users".There are two built-in Group Policy Objects (GPOs) - one each for the 'AADDC Computers' and 'AADDC Users' containers in your managed domain. È possibile personalizzare questi oggetti Criteri di gruppo per configurare i criteri di gruppo nel dominio gestito.You can customize these GPOs to configure group policy on the managed domain.

  1. Nella console Gestione Criteri di gruppo fare clic per espandere i nodi Foresta: contoso100.com e Domini per visualizzare i criteri di gruppo del dominio gestito.In the Group Policy Management console, click to expand the Forest: contoso100.com and Domains nodes to see the group policies for your managed domain.

    Oggetti Criteri di gruppo predefiniti

  2. È possibile personalizzare questi oggetti Criteri di gruppo predefiniti per configurare criteri di gruppo nel dominio gestito.You can customize these built-in GPOs to configure group policies on your managed domain. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo e quindi su Modifica... per personalizzare l'oggetto predefinito.Right-click the GPO and click Edit... to customize the built-in GPO. L'Editor di configurazione degli oggetti Criteri di gruppo consente di personalizzare tali oggetti.The Group Policy Configuration Editor tool enables you to customize the GPO.

    Modificare gli oggetti Criteri di gruppo predefiniti

  3. È ora possibile utilizzare la console dell'Editor di Gestione Criteri di gruppo per modificare gli oggetti Criteri di gruppo predefiniti.You can now use the Group Policy Management Editor console to edit the built-in GPO. Ad esempio, nella schermata seguente viene illustrato come personalizzare l'oggetto Criteri di gruppo predefinito "AADDC Computers".For instance, the following screenshot shows how to customize the built-in 'AADDC Computers' GPO.

    Personalizzare un oggetto Criteri di gruppo predefinito

Attività 5: creare un Oggetto Criteri di gruppo (GPO) personalizzatoTask 5 - Create a custom Group Policy Object (GPO)

È possibile creare o importare i propri oggetti criteri di gruppo personalizzati.You can create or import your own custom group policy objects. È anche possibile collegare gli Oggetto Criteri di gruppo personalizzati a un'unità organizzativa creata nel dominio gestito.You can also link custom GPOs to a custom OU you have created in your managed domain. Per ulteriori informazioni sulla creazione di unità organizzative personalizzate, consultare l'articolo su come creare un'Unità organizzativa in un dominio gestito.For more information on creating custom organizational units, see create a custom OU on a managed domain.

Nota

È necessario essere un membro del gruppo "AAD DC Administrators" per poter amministrare Criteri di gruppo nel dominio gestito.You need to be a member of the 'AAD DC Administrators' group, to administer Group Policy on the managed domain.

  1. Nella console Gestione Criteri di gruppo fare clic per selezionare l'unità organizzativa (OU) personalizzata.In the Group Policy Management console, click to select your custom organizational unit (OU). Fare clic con il tasto destro del mouse sull'unità organizzativa e quindi su Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....Right-click the OU and click Create a GPO in this domain, and Link it here....

    Creare un Oggetto Criteri di gruppo personalizzato

  2. Specificare il nome del nuovo Oggetto Criteri di gruppo e fare clic su OK.Specify a name for the new GPO and click OK.

    Specificare il nome dell'Oggetto Criteri di gruppo

  3. Viene creato un nuovo Oggetto Criteri di gruppo e collegato all'Unità organizzativa personalizzata.A new GPO is created and linked to your custom OU. Fare clic con il tasto destro del mouse sull'Oggetto Criteri di gruppo e quindi su Modifica... nel menu.Right-click the GPO and click Edit... from the menu.

    Oggetto Criteri di gruppo appena creato

  4. È possibile personalizzare l'Oggetto Criteri di gruppo appena creato utilizzando l'Editor Gestione Criteri di gruppo.You can customize the newly created GPO using the Group Policy Management Editor.

    Personalizzare il nuovo Oggetto Criteri di gruppo

Ulteriori informazioni sull'uso della console di Gestione Criteri di gruppo sono disponibili su TechNet.More information about using Group Policy Management Console is available on Technet.