Bewerken

Beheer ister Groepsbeleid in een door Microsoft Entra Domain Services beheerd domein

  • Uitleg

Instellingen voor gebruikers- en computerobjecten in Microsoft Entra Domain Services worden vaak beheerd met groepsbeleidsobjecten (GPO's). Domain Services bevat ingebouwde GPO's voor de AADDC-gebruikers en AADDC-computerscontainers . U kunt deze ingebouwde GPO's aanpassen om groepsbeleid voor uw omgeving te configureren, indien gewenst. Leden van de groep AAD DC Beheer istrators hebben bevoegdheden voor groepsbeleidsbeheer in het domein Domain Services en kunnen ook aangepaste GPO's en organisatie-eenheden (OE's) maken. Zie het overzicht van Groepsbeleid voor meer informatie over wat Groepsbeleid is en hoe het werkt.

In een hybride omgeving worden groepsbeleidsregels die zijn geconfigureerd in een on-premises AD DS-omgeving, niet gesynchroniseerd met Domain Services. Als u configuratie-instellingen wilt definiëren voor gebruikers of computers in Domain Services, bewerkt u een van de standaard groepsbeleidsobjecten of maakt u een aangepast groepsbeleidsobject.

In dit artikel leest u hoe u de hulpprogramma's voor groepsbeleidsbeheer installeert en vervolgens de ingebouwde GPO's bewerkt en aangepaste groepsbeleidsobjecten maakt.

Als u geïnteresseerd bent in serverbeheerstrategie, inclusief machines in Azure en hybride verbonden, kunt u overwegen om te lezen over de functie voor gastconfiguratie van Azure Policy.

Vereisten

U hebt de volgende resources en bevoegdheden nodig om dit artikel te voltooien:

Notitie

U kunt Groepsbeleid Beheer istratieve sjablonen gebruiken door de nieuwe sjablonen naar het beheerwerkstation te kopiëren. Kopieer de .admx-bestanden naar %SYSTEMROOT%\PolicyDefinitions en kopieer de landinstellingenspecifieke .adml-bestanden naar %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], waarbij deze Language-CountryRegion overeenkomt met de taal en regio van de .adml-bestanden .

Kopieer bijvoorbeeld het Engels Verenigde Staten versie van de .adml-bestanden naar de \en-us map.

Hulpprogramma's voor groepsbeleidsbeheer installeren

Als u Groepsbeleidsobject (GPO's) wilt maken en configureren, moet u de hulpprogramma's voor groepsbeleidsbeheer installeren. Deze hulpprogramma's kunnen worden geïnstalleerd als een functie in Windows Server. Zie Remote Server Beheer istration Tools (RSAT) installeren voor meer informatie over het installeren van de beheerhulpprogramma's op een Windows-client.

  1. Meld u aan bij uw beheer-VM. Zie Verbinding maken met een Windows Server-VM voor stappen voor het maken van verbinding met het Microsoft Entra-beheercentrum.

  2. Serverbeheer moet standaard worden geopend wanneer u zich aanmeldt bij de virtuele machine. Als dat niet het gaat, selecteert u Serverbeheer in het menu Start.

  3. Selecteer in het deelvenster Dashboard van het venster Serverbeheer de optie Functies en onderdelen toevoegen.

  4. Selecteer op de pagina Voordat u begint van de wizard Functies en onderdelen toevoegenVolgende.

  5. Voor het installatietype moet u de optie van het selectievakje Installatie die op de functie of het onderdeel is gebaseerd ingeschakeld laten en Volgende selecteren.

  6. Kies op de pagina Selectie van servers de huidige VM uit de servergroep, zoals myvm.aaddscontoso.com, en selecteer vervolgens Volgende.

  7. Klik op de pagina Serverfuncties op Volgende.

  8. Selecteer op de pagina Functies de functie Groepsbeleidsbeheer .

    Groepsbeleidsbeheer installeren op de pagina Onderdelen

  9. Selecteer op de pagina BevestigingInstalleren. Het kan enkele minuten duren voordat de hulpprogramma's voor groepsbeleidsbeheer zijn geïnstalleerd.

  10. Wanneer de installatie van de functie is voltooid, selecteert u Sluiten om de wizard Functies en onderdelen toevoegen af te sluiten.

Open de console Groepsbeleidsbeheer en bewerk een object

Standaard groepsbeleidsobjecten (GPO's) bestaan voor gebruikers en computers in een beheerd domein. Nu de functie Groepsbeleidsbeheer is geïnstalleerd uit de vorige sectie, gaan we een bestaand groepsbeleidsobject bekijken en bewerken. In de volgende sectie maakt u een aangepast groepsbeleidsobject.

Notitie

Als u groepsbeleid wilt beheren in een beheerd domein, moet u zijn aangemeld bij een gebruikersaccount dat lid is van de AAD DC-groep Beheer istrators.

  1. Selecteer in het startscherm Beheer istratieve hulpmiddelen. Er wordt een lijst met beschikbare beheerprogramma's weergegeven, waaronder Groepsbeleidsbeheer dat in de vorige sectie is geïnstalleerd.

  2. Als u de console Groepsbeleidsbeheer (GPMC) wilt openen, kiest u Groepsbeleidsbeheer.

    De console Groepsbeleidsbeheer wordt geopend om groepsbeleidsobjecten te bewerken

Er zijn twee ingebouwde groepsbeleidsobjecten (GPO's) in een beheerd domein: één voor de AADDC Computers-container en een voor de AADDC-gebruikerscontainer . U kunt deze GPO's aanpassen om groepsbeleid zo nodig te configureren binnen uw beheerde domein.

  1. Vouw in de console Groepsbeleidsbeheer het forest uit: aaddscontoso.com knooppunt. Vouw vervolgens de knooppunten Domeinen uit.

    Er bestaan twee ingebouwde containers voor AADDC-computers en AADDC-gebruikers. Voor elk van deze containers is een standaard groepsbeleidsobject toegepast.

    Ingebouwde GPO's die zijn toegepast op de standaardcontainers AADDC-computers en AADDC-gebruikers

  2. Deze ingebouwde GPO's kunnen worden aangepast om specifieke groepsbeleidsregels voor uw beheerde domein te configureren. Selecteer met de rechtermuisknop een van de groepsbeleidsobjecten, zoals groepsbeleidsobject voor AADDC-computers en kies Bewerken....

    Kies de optie om een van de ingebouwde GPO's te bewerken

  3. Het hulpprogramma Editor voor groepsbeleidsbeheer wordt geopend om het groepsbeleidsobject aan te passen, zoals accountbeleid:

    Schermopname van de editor voor groepsbeleidsbeheer.

    Wanneer u klaar bent, kiest u Bestand > opslaan om het beleid op te slaan. Computers vernieuwen groepsbeleid standaard elke 90 minuten en pas de wijzigingen toe die u hebt aangebracht.

Een aangepast groepsbeleidsobject maken

Als u vergelijkbare beleidsinstellingen wilt groeperen, maakt u vaak extra GPO's in plaats van alle vereiste instellingen toe te passen in het ene standaard groepsbeleidsobject. Met Domain Services kunt u uw eigen aangepaste groepsbeleidsobjecten maken of importeren en deze koppelen aan een aangepaste organisatie-eenheid. Als u eerst een aangepaste organisatie-eenheid wilt maken, raadpleegt u een aangepaste organisatie-eenheid maken in een beheerd domein.

  1. Selecteer in de console Groepsbeleidsbeheer uw aangepaste organisatie-eenheid (OE), zoals MyCustomOU. Selecteer met de rechtermuisknop de organisatie-eenheid en kies Een groepsbeleidsobject maken in dit domein en koppel deze hier...:

    Een aangepast groepsbeleidsobject maken in de console Groepsbeleidsbeheer

  2. Geef een naam op voor het nieuwe groepsbeleidsobject, zoals Mijn aangepaste groepsbeleidsobject en selecteer VERVOLGENS OK. U kunt dit aangepaste groepsbeleidsobject desgewenst baseren op een bestaand groepsbeleidsobject en een set beleidsopties.

    Geef een naam op voor het nieuwe aangepaste groepsbeleidsobject

  3. Het aangepaste groepsbeleidsobject wordt gemaakt en gekoppeld aan uw aangepaste organisatie-eenheid. Als u nu de beleidsinstellingen wilt configureren, selecteert u met de rechtermuisknop het aangepaste groepsbeleidsobject en kiest u Bewerken...:

    Kies de optie om uw aangepaste groepsbeleidsobject te bewerken

  4. De Editor voor groepsbeleidsbeheer wordt geopend om u het groepsbeleidsobject aan te passen:

    Groepsbeleidsobject aanpassen om instellingen te configureren zoals vereist

    Wanneer u klaar bent, kiest u Bestand > opslaan om het beleid op te slaan. Computers vernieuwen groepsbeleid standaard elke 90 minuten en pas de wijzigingen toe die u hebt aangebracht.

Gerelateerde inhoud