Beheer groepsbeleid in een Azure Active Directory domain services beheerd domein

  • Artikel
  • 5 minuten om te lezen

Instellingen voor gebruikers- en computerobjecten in Azure Active Directory Domain Services (Azure AD DS) worden vaak beheerd met behulp van groepsbeleid-objecten (GMO's). Azure AD DS bevat ingebouwde gpu's voor de containers AADDC Users en AADDC Computers. U kunt deze ingebouwde gpu's aanpassen om de groepsbeleid voor uw omgeving te configureren. Leden van de Azure AD DC-beheerdersgroep hebben groepsbeleid-beheerdersbevoegdheden in het Azure AD DS-domein en kunnen ook aangepaste GMO's en organisatie-eenheden (OE's) maken. Zie overzicht van groepsbeleid voor meer informatie over wat groepsbeleid is en hoe groepsbeleid werkt.

In een hybride omgeving worden groepsbeleidsregels die zijn geconfigureerd in een on-premises AD DS niet gesynchroniseerd met Azure AD DS. Als u configuratie-instellingen wilt definiëren voor gebruikers of computers in Azure AD DS, bewerkt u een van de standaard-GPO's of maakt u een aangepast GPO.

In dit artikel wordt beschreven hoe u de groepsbeleid Management-hulpprogramma's installeert, vervolgens de ingebouwde groep gpu's bewerkt en aangepaste groep gpu's maakt.

Als u geïnteresseerd bent in serverbeheerstrategie, inclusief machines in Azure en hybride verbonden ,kunt u lezen hoe u groepsbeleid-inhoud converteert naar de gastconfiguratiefunctie van Azure Policy.

Voordat u begint

U hebt de volgende resources en bevoegdheden nodig om dit artikel te voltooien:

Notitie

U kunt deze groepsbeleid Beheersjablonen door de nieuwe sjablonen naar het beheerwerkstation te kopiëren. Kopieer de .admx-bestanden naar en kopieer de landspecifieke .adml-bestanden naar , waarbij overeenkomt met de taal en regio van de %SYSTEMROOT%\PolicyDefinitions %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion] Language-CountryRegion .adml-bestanden.

Kopieer bijvoorbeeld de Engelse, Verenigde Staten versie van de ADML-bestanden naar de \en-us map .

Beheerhulpprogramma groepsbeleid installeren

Als u een GMO groepsbeleid wilt maken en configureren, moet u de groepsbeleid Management-hulpprogramma's installeren. Deze hulpprogramma's kunnen worden geïnstalleerd als een functie in Windows Server. Zie Install Remote Server Administration Tools (RSAT) voormeer informatie over het installeren van de beheerprogramma's op een Windows-client.

  1. Meld u aan bij uw beheer-VM. Zie verbinding maken met een server-VM voor Azure Portal Verbinding maken stappen voor het Azure Portal Windows van een server.

  2. Serverbeheer moeten standaard worden geopend wanneer u zich bij de VM aan melden. Als dat niet het beste is, selecteert u Serverbeheer.

  3. Selecteer in het deelvenster Dashboard van het venster Serverbeheer de optie Functies en onderdelen toevoegen.

  4. Selecteer op de pagina Voordat u begint van de wizard Functies en onderdelen toevoegen Volgende.

  5. Voor het installatietype moet u de optie van het selectievakje Installatie die op de functie of het onderdeel is gebaseerd ingeschakeld laten en Volgende selecteren.

  6. Kies op de pagina Selectie van servers de huidige VM uit de servergroep, zoals myvm.aaddscontoso.com, en selecteer vervolgens Volgende.

  7. Klik op de pagina Serverfuncties op Volgende.

  8. Selecteer op de pagina Functies de groepsbeleid Management-functie.

    Installeer 'groepsbeleid Management' op de pagina Functies

  9. Selecteer op de pagina Bevestiging Installeren. Het kan een paar minuten duren om de groepsbeleid Management-hulpprogramma's te installeren.

  10. Wanneer de installatie van de functie is voltooid, selecteert u Sluiten om de wizard Functies en onderdelen toevoegen af te sluiten.

Open het console Groepsbeleidbeheer en bewerk een -object

Standaard groepsbeleidsobjecten (GMO's) bestaan voor gebruikers en computers in een beheerd domein. Nu de groepsbeleid management-functie uit de vorige sectie is geïnstalleerd, gaan we een bestaand GPO bekijken en bewerken. In de volgende sectie maakt u een aangepast GPO.

Notitie

Als u groepsbeleid in een beheerd domein wilt beheren, moet u zijn aangemeld bij een gebruikersaccount dat lid is van de AAD DC-beheerdersgroep.

  1. Selecteer in Startscherm de optie Systeembeheer. Er wordt een lijst met beschikbare beheerprogramma's weergegeven, waaronder groepsbeleid Management dat in de vorige sectie is geïnstalleerd.

  2. Als u de console Groepsbeleidbeheer (GPMC) wilt openen, kiest groepsbeleid Management.

    De console Groepsbeleidbeheer wordt geopend om groepsbeleidsobjecten te bewerken

Er zijn twee ingebouwde groepsbeleid-objecten (GOS's) in een beheerd domein: één voor de container AADDC Computers en één voor de container AADDC-gebruikers. U kunt deze groepsbeleidsinstellingen zo nodig aanpassen om groepsbeleid te configureren binnen uw beheerde domein.

  1. Vouw in groepsbeleid-beheerconsole het knooppunt Forest: aaddscontoso.com uit. Vouw vervolgens de knooppunten Domeinen uit.

    Er bestaan twee ingebouwde containers voor AADDC-computers en AADDC-gebruikers. Op elk van deze containers is een standaard GPO toegepast.

    Ingebouwde gpu's die zijn toegepast op de standaardcontainers 'AADDC Computers' en 'AADDC Users'

  2. Deze ingebouwde groepsbeleidsinstellingen kunnen worden aangepast om specifiek groepsbeleid voor uw beheerde domein te configureren. Selecteer met de rechterkant een van de GPO's, zoals GPO AADDC Computers, en kies vervolgens Bewerken....

    Kies de optie 'Bewerken' voor een van de ingebouwde groep gpu's

  3. Het Groepsbeleidsbeheer-editor wordt geopend, waarmee u het GPO kunt aanpassen, zoals Accountbeleid:

    Schermopname van de Groepsbeleidsbeheer-editor.

    Wanneer u klaar bent, kiest u Bestand > opslaan om het beleid op te slaan. Computers vernieuwen groepsbeleid standaard elke 90 minuten en passen de wijzigingen toe die u hebt aangebracht.

Een aangepast groepsbeleid maken

Als u vergelijkbare beleidsinstellingen wilt groeperen, maakt u vaak extra GPO's in plaats van alle vereiste instellingen in één standaard groepsbeleidsgroep toe te passen. Met Azure AD DS kunt u uw eigen aangepaste groepsbeleidsobjecten maken of importeren en deze koppelen aan een aangepaste OE. Zie Een aangepaste OE maken in een beheerd domein als u eerst een aangepaste OE moet maken.

  1. Selecteer in groepsbeleid-beheerconsole uw aangepaste organisatie-eenheid (OE), zoals MyCustomOU. Selecteer met de rechterknop de OE en kies Een GPO in dit domein maken en hier een koppeling maken... :

    Een aangepast GPO maken in de groepsbeleid-beheerconsole

  2. Geef een naam op voor het nieuwe GPO, zoals Mijn aangepaste GPO, en selecteer vervolgens OK. U kunt dit aangepaste GPO desgewenst baseren op een bestaand GPO en een set beleidsopties.

    Geef een naam op voor het nieuwe aangepaste GPO

  3. Het aangepaste GPO wordt gemaakt en gekoppeld aan uw aangepaste OE. Als u de beleidsinstellingen nu wilt configureren, selecteert u met de rechterkant het aangepaste GPO en kiest u Bewerken...:

    Kies de optie om uw aangepaste GPO te 'bewerken'

  4. De Groepsbeleidsbeheer-editor wordt geopend, waar u het GPO kunt aanpassen:

    GPO aanpassen om instellingen naar wens te configureren

    Wanneer u klaar bent, kiest u Bestand > opslaan om het beleid op te slaan. Computers vernieuwen groepsbeleid standaard elke 90 minuten en passen de wijzigingen toe die u hebt aangebracht.

Volgende stappen

Zie voor meer informatie over de groepsbeleid instellingen die u kunt configureren met behulp van de console Groepsbeleidbeheer werken met groepsbeleid voorkeursitems.