Administrera grupprincip i en domän Azure Active Directory Domain Services
Inställningar för användar- och datorobjekt i Azure Active Directory Domain Services (Azure AD DS) hanteras ofta med hjälp grupprincip -objekt (GRUP). Azure AD DS innehåller inbyggda grupprincipobjekt för AADDC-användare och containrar för AADDC-datorer. Du kan anpassa dessa inbyggda grupprincipobjekt för att konfigurera grupprincip efter behov för din miljö. Medlemmar i gruppen Azure AD DC-administratörer har grupprincip administratörsbehörighet i Azure AD DS-domänen och kan även skapa anpassade grupprincipobjekt och organisationsenheter (ORGANISATIONSENHETER). Mer information om vad grupprincip är och hur det fungerar finns i grupprincip översikt.
I en hybridmiljö synkroniseras inte grupprinciper som konfigurerats i en lokal AD DS-miljö till Azure AD DS. Om du vill definiera konfigurationsinställningar för användare eller datorer i Azure AD DS redigera en av standardgrupprincipobjekten eller skapa ett anpassat grupprincipobjekt.
Den här artikeln visar hur du installerar grupprincip-hanteringsverktygen och sedan redigerar de inbyggda grupprincipobjekten och skapar anpassade grupprincipobjekt.
Om du är intresserad av serverhanteringsstrategi, inklusive datorer i Azure och hybridanslutna , kan du läsa om hur du konverterar grupprincip-innehåll till gästkonfigurationsfunktionen i Azure Policy.
Innan du börjar
För att kunna slutföra den här artikeln behöver du följande resurser och behörigheter:
- En aktiv Azure-prenumeration.
- Om du inte har en Azure-prenumeration skapar du ett konto.
- En Azure Active Directory klient som är associerad med din prenumeration, antingen synkroniserad med en lokal katalog eller en endast molnbaserad katalog.
- En Azure Active Directory Domain Services-hanterad domän aktiverad och konfigurerad i din Azure AD-klientorganisation.
- Om det behövs slutför du självstudien för att skapa och konfigurera en Azure Active Directory Domain Services-hanterad domän.
- En Windows serverhanterings-VM som är ansluten till den Azure AD DS hanterade domänen.
- Om det behövs slutför du självstudien för att skapa en virtuell Windows Server och ansluta den till en hanterad domän.
- Ett användarkonto som är medlem i gruppen Azure AD DC-administratörer i din Azure AD-klientorganisation.
Anteckning
Du kan använda grupprincip Administrativa mallar genom att kopiera de nya mallarna till hanteringsarbetsstationen. Kopiera .admx-filerna till och kopiera de språkspecifika ADML-filerna till , där matchar språket och regionen för %SYSTEMROOT%\PolicyDefinitions %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion] Language-CountryRegion .adml-filerna.
Kopiera till exempel den engelska, USA versionen av .adml-filerna till \en-us mappen.
Installera grupprincip hanteringsverktyg
Om du vill skapa grupprincip konfigurera ett objekt (GMO) måste du installera grupprincip hanteringsverktyg. Dessa verktyg kan installeras som en funktion i Windows Server. Mer information om hur du installerar administrationsverktygen på en Windows-klient finns i installera verktyg för fjärrserveradministration (RSAT).
Logga in på den virtuella hanteringsdatorn. Anvisningar för hur du ansluter med hjälp av Azure Portal finns i Anslut till en Windows Server VM.
Serverhanteraren bör öppnas som standard när du loggar in på den virtuella datorn. Annars går du till Start-menyn och väljer Serverhanteraren.
I fönstret Instrumentpanel i fönstret Serverhanteraren väljer du Lägg till roller och funktioner.
På sidan Innan du börjar i guiden Lägg till roller och funktioner väljer du Nästa.
För Installationstyp låter du alternativet Rollbaserad eller funktionsbaserad installation vara markerat och väljer Nästa.
På sidan Serverval väljer du den aktuella virtuella datorn från serverpoolen, till exempel myvm.aaddscontoso.com och sedan Nästa.
På sidan Serverroller klickar du på Nästa.
På sidan Funktioner väljer du funktionen grupprincip hantering.
På sidan Bekräftelse väljer du Installera. Det kan ta ett par minuter att installera grupprincip hanteringsverktyg.
När funktionsinstallationen är klar väljer du Stäng för att avsluta guiden Lägg till roller och funktioner.
Öppna konsolen grupprinciphantering och redigera ett objekt
Standardobjekt för grupprinciper finns för användare och datorer i en hanterad domän. Nu när grupprincip management-funktionen är installerad från föregående avsnitt ska vi visa och redigera ett befintligt grupprincipobjekt. I nästa avsnitt skapar du ett anpassat grupprincipobjekt.
Anteckning
Om du vill administrera grupprinciper i en hanterad domän måste du vara inloggad på ett användarkonto som är medlem i gruppen AAD DC-administratörer.
Från Startskärmen väljer du Administrationsverktyg. En lista över tillgängliga hanteringsverktyg visas, inklusive grupprincip Management som installerades i föregående avsnitt.
Om du vill öppna konsolen grupprinciphantering (GPMC) väljer du grupprincip Hantering.
Det finns två inbyggda grupprincip objekt (GMO) i en hanterad domän – en för containern för AADDC-datorer och en för containern AADDC-användare. Du kan anpassa dessa grupprincipobjekt för att konfigurera grupprinciper efter behov i din hanterade domän.
I grupprincip-hanteringskonsolen expanderar du noden Skog: aaddscontoso.com. Expandera sedan domännoderna.
Det finns två inbyggda containrar för AADDC-datorer och AADDC-användare. Var och en av dessa containrar har ett standard-GPO tillämpat på dem.
Dessa inbyggda grupprincipobjekt kan anpassas för att konfigurera specifika grupprinciper på din hanterade domän. Högerklicka på ett av grupprincipobjekten, till exempel AADDC-datorer GPO, och välj sedan Redigera....
Verktyget Redigeraren Grupprinciphantering öppnas så att du kan anpassa grupprincipobjektet, till exempel kontoprinciper:
När du är klar väljer du > Spara för att spara principen. Datorer uppdateras grupprincip som standard var 90:e minut och tillämpar de ändringar du har gjort.
Skapa ett anpassat grupprincip objekt
Om du vill gruppera liknande principinställningar skapar du ofta ytterligare grupprincipobjekt i stället för att tillämpa alla nödvändiga inställningar i det enskilda standardgrupprincipobjektet. Med Azure AD DS kan du skapa eller importera egna anpassade grupprincipobjekt och länka dem till en anpassad organisationsenhet. Om du först behöver skapa en anpassad organisationsenhet kan du gå till Skapa en anpassad organisationsenhet i en hanterad domän.
I grupprincip-hanteringskonsolen väljer du din anpassade organisationsenhet ( OU), till exempel MyCustomOU. Högerklicka på organisationsenheten och välj Skapa ett grupprincipobjekt i den här domänen och länka det här...:
Ange ett namn för det nya grupprincipobjektet, till exempel Mitt anpassade grupprincipobjekt, och välj sedan OK. Du kan även basera det här anpassade grupprincipobjektet på ett befintligt grupprincipobjekt och en uppsättning principalternativ.
Det anpassade grupprincipobjektet skapas och länkas till din anpassade organisationsenhet. Om du vill konfigurera principinställningarna högerklickar du på det anpassade grupprincipobjektet och väljer Redigera...:
Den Redigeraren Grupprinciphantering öppnas så att du kan anpassa grupprincipobjektet:
När du är klar väljer du > Spara för att spara principen. Datorer uppdateras grupprincip som standard var 90:e minut och tillämpar de ändringar du har gjort.
Nästa steg
Mer information om de tillgängliga grupprincip som du kan konfigurera med hjälp av konsolen grupprinciphantering finns i Arbeta med grupprincip inställningsobjekt.