Administrar a Política de Grupo em um domínio gerenciado do Azure Active Directory Domain Services

As configurações para objetos de usuário e computador no Azure AD DS (Azure Active Directory Domain Services) geralmente são gerenciadas usando GPOs (Objetos de Política de Grupo). O Azure AD DS inclui GPOs internos para os contêineres Usuários AADDC e Computadores AADDC. Você pode personalizar esses GPOs internos para configurar a Política de Grupo conforme necessário para o seu ambiente. Os membros do grupo de administradores do Azure AD DC têm privilégios de administração da Política de Grupo no domínio do Azure AD DS e também podem criar GPOs e UOs (unidades organizacionais) personalizados. Para obter mais informações sobre o que a Política de Grupo é e como funciona, confira Visão geral da Política de Grupo.

Em um ambiente híbrido, as políticas de grupo configuradas em um ambiente do AD DS local não são sincronizadas com o Azure AD DS. Para definir as configurações para usuários ou computadores no Azure AD DS, edite um dos GPOs padrão ou crie um GPO personalizado.

Este artigo mostra como instalar as ferramentas de gerenciamento da Política de Grupo e, em seguida, editar os GPOs internos e criar GPOs personalizados.

Antes de começar

Para concluir este artigo, você precisará dos seguintes recursos e privilégios:

Observação

Você pode usar os Modelos Administrativos da Política de Grupo copiando os novos modelos para a estação de trabalho de gerenciamento. Copie os arquivos .admx em %SYSTEMROOT%\PolicyDefinitions e copie os arquivos .adml específicos da localidade em %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], em que Language-CountryRegion corresponde ao idioma e à região dos arquivos .adml.

Por exemplo, copie a versão em inglês dos Estados Unidos dos arquivos .adml na pasta \en-us.

Instalar as ferramentas de gerenciamento da Política de Grupo

Para criar e configurar GPOs (Objeto de Política de Grupo), você precisa instalar as ferramentas de gerenciamento da Política de Grupo. Essas ferramentas podem ser instaladas como um recurso no Windows Server. Para obter mais informações sobre como instalar as ferramentas administrativas em um cliente do Windows, confira Instalar RSAT (Ferramentas de Administração de Servidor Remoto).

  1. Entre na VM de gerenciamento. Para obter as etapas sobre como se conectar usando o portal do Azure, confira Conectar-se a uma VM do Windows Server.

  2. O Gerenciador do Servidor deve abrir por padrão ao entrar na VM. Caso contrário, no menu Iniciar, selecione Gerenciador do Servidor.

  3. No painel Dashboard da janela Gerenciador do Servidor, selecione Adicionar Funções e Recursos.

  4. Na página Antes de Você Começar do Assistente de Adição de Funções e Recursos, selecione Avançar.

  5. Para o Tipo de Instalação, deixe a opção Instalação baseada em função ou recurso marcada e selecione Avançar.

  6. Na página Seleção de Servidor, escolha a VM atual no pool de servidores, como myvm.aaddscontoso.com e, em seguida, selecione Avançar.

  7. Na página Funções do Servidor, clique em Avançar.

  8. Na página Recursos, selecione o recurso Gerenciamento de Política de Grupo.

    Instalar o 'Gerenciamento de Política de Grupo' na página Recursos

  9. Na página Confirmação, selecione Instalar. A instalação das ferramentas de gerenciamento da Política de Grupo pode levar um ou dois minutos.

  10. Quando a instalação do recurso for concluída, selecione Fechar para sair do Assistente de Adição de Funções e Recursos.

Abrir o Console de Gerenciamento de Política de Grupo e editar um objeto

Os GPOs (Objetos de Política de Grupo) padrão existem para usuários e computadores em um domínio gerenciado. Com o recurso de Gerenciamento de Política de Grupo instalado na seção anterior, vamos exibir e editar um GPO existente. Na próxima seção, você criará um GPO personalizado.

Observação

Para administrar uma política de grupo em um domínio gerenciado, você deve estar conectado a uma conta de usuário que seja membro do grupo de Administradores do AAD DC.

  1. Na tela Iniciar, selecione Ferramentas Administrativas. Uma lista de ferramentas de gerenciamento disponíveis é mostrada, incluindo o Gerenciamento de Política de Grupo instalado na seção anterior.

  2. Para abrir o GPMC (Console de Gerenciamento de Política de Grupo), escolha Gerenciamento de Política de Grupo.

    O Console de Gerenciamento de Política de Grupo abre para editar objetos de política de grupo

Há dois GPOs (Objetos de Política de Grupo) internos em um domínio gerenciado, um para o contêiner Computadores AADDC e outro para o contêiner Usuários AADDC. Você pode personalizar esses GPOs para configurar a política de grupo no domínio gerenciado, conforme necessário.

  1. No Console de Gerenciamento de Política de Grupo, expanda o nó Floresta: aaddscontoso.com. Em seguida, expanda os nós Domínios.

    Existem dois contêineres internos para Computadores AADDC e Usuários AADDC. Cada um desses contêineres tem um GPO padrão aplicado a eles.

    GPOs internos aplicados aos contêineres padrão 'Computadores AADDC' e 'Usuários AADDC'

  2. Esses GPOs internos podem ser personalizados para configurar políticas de grupo específicas em seu domínio gerenciado. Selecione um dos GPOs com o botão direito do mouse, como o GPO Computadores AADDC, e escolha Editar... .

    Escolha a opção para 'Editar' um dos GPOs internos

  3. A ferramenta Editor de Gerenciamento de Política de Grupo é aberta para permitir que você personalize o GPO, como Políticas de Conta:

    Captura de tela do Editor de Gerenciamento de Política de Grupo.

    Quando terminar, escolha Arquivo > Salvar para salvar a política. Os computadores atualizam a Política de Grupo por padrão a cada 90 minutos e aplicam as alterações feitas.

Criar um Objeto de Política de Grupo personalizado

Para agrupar configurações de política semelhantes, você geralmente cria GPOs adicionais em vez de aplicar todas as configurações necessárias no GPO único, padrão. Com o Azure AD DS, você pode criar ou importar seus objetos de política de grupo personalizados e vinculá-los a uma UO personalizada. Se você precisar criar primeiro uma UO personalizada, confira Criar uma UO personalizada em um domínio gerenciado.

  1. No Console de Gerenciamento de Política de Grupo, selecione a UO (unidade organizacional) personalizada, como MyCustomOU. Selecione a UO com o botão direito do mouse e escolha Criar um GPO neste domínio e vinculá-lo aqui... :

    Criar um GPO personalizado no Console de Gerenciamento de Política de Grupo

  2. Especifique um nome para o novo GPO, como Meu GPO personalizado e, em seguida, selecione OK. Opcionalmente, você pode basear esse GPO personalizado em um GPO existente e no conjunto de opções de política.

    Especificar um nome para o novo GPO personalizado

  3. O GPO personalizado é criado e vinculado à sua UO personalizada. Para definir as configurações de política, selecione o GPO personalizado com o botão direito do mouse e escolha Editar... :

    Escolher a opção para 'Editar' seu GPO personalizado

  4. O Editor de Gerenciamento de Política de Grupo é aberto para permitir que você personalize o GPO:

    Personalize o GPO para definir as configurações conforme necessário

    Quando terminar, escolha Arquivo > Salvar para salvar a política. Os computadores atualizam a Política de Grupo por padrão a cada 90 minutos e aplicam as alterações feitas.

Próximas etapas

Para obter mais informações sobre as configurações de Política de Grupo disponíveis que você pode configurar usando o Console de Gerenciamento de Política de Grupo, consulte Trabalhar com itens de preferência da Política de Grupo.