Azure AD Domain Services yönetilen bir etki alanında grup ilkesi yönetmeAdminister Group Policy in an Azure AD Domain Services managed domain

Azure Active Directory Domain Services (Azure AD DS) içindeki kullanıcı ve bilgisayar nesnelerine yönelik ayarlar genellikle grup ilkesi nesneleri (GPO 'Lar) kullanılarak yönetilir.Settings for user and computer objects in Azure Active Directory Domain Services (Azure AD DS) are often managed using Group Policy Objects (GPOs). Azure AD DS, Aaddc kullanıcıları ve Aaddc bilgisayarları kapsayıcıları için yerleşik GPO 'lar içerir.Azure AD DS includes built-in GPOs for the AADDC Users and AADDC Computers containers. Bu yerleşik GPO 'Ları, ortamınız için gereken grup ilkesi yapılandırmak üzere özelleştirebilirsiniz.You can customize these built-in GPOs to configure Group Policy as needed for your environment. Azure AD DC Administrators grubunun üyeleri, Azure AD DS etki alanında Grup ilkesi yönetim ayrıcalıklarına sahiptir ve ayrıca özel GPO 'lar ve kuruluş birimleri (OU 'lar) oluşturabilir.Members of the Azure AD DC administrators group have Group Policy administration privileges in the Azure AD DS domain, and can also create custom GPOs and organizational units (OUs). Grup ilkesi ne olduğu ve nasıl çalıştığı hakkında daha fazla bilgi için bkz. Grup ilkesi genel bakış.More more information on what Group Policy is and how it works, see Group Policy overview.

Karma bir ortamda, şirket içi AD DS ortamda yapılandırılan Grup ilkeleri Azure AD DS ile eşitlenmez.In a hybrid environment, group policies configured in an on-premises AD DS environment aren't synchronized to Azure AD DS. Azure AD DS 'de kullanıcıların veya bilgisayarların yapılandırma ayarlarını tanımlamak için varsayılan GPO 'Lardan birini düzenleyin veya özel bir GPO oluşturun.To define configuration settings for users or computers in Azure AD DS, edit one of the default GPOs or create a custom GPO.

Bu makalede grup ilkesi yönetim araçlarının nasıl yükleneceği ve ardından yerleşik GPO 'Ların nasıl düzenleneceği ve özel GPO 'Ların nasıl oluşturulduğu gösterilir.This article shows you how to install the Group Policy Management tools, then edit the built-in GPOs and create custom GPOs.

Önemli

Bu makaledeki görevleri tamamlamadan önce Azure AD Domain Services için Parola karması eşitlemesini etkinleştirin.Enable password hash synchronization to Azure AD Domain Services, before you complete the tasks in this article.

Azure AD dizininizde bulunan kullanıcıların türüne bağlı olarak aşağıdaki yönergeleri izleyin.Follow the instructions below, depending on the type of users in your Azure AD directory. Azure AD dizininizde yalnızca bulutta ve eşitlenmiş Kullanıcı hesaplarının bir karışımına sahipseniz her iki yönerge kümesini de doldurun.Complete both sets of instructions if you have a mix of cloud-only and synced user accounts in your Azure AD directory. Bir B2B Konuk hesabı (örneğin, izin verdiğimiz farklı bir kimlik sağlayıcısından Gmail veya MSA) kullanmaya çalışıyorsanız aşağıdaki işlemleri gerçekleştiremeyebilirsiniz, çünkü bu kullanıcılara yönetilen etki alanı ile eşitlenen bu kullanıcılar için parola yok. , dizininde Konuk hesaplardır.You may not be able to carry out the following operations in case you are trying to use a B2B Guest account (example , your gmail or MSA from a different Identity provider which we allow) because we do not have the password for these users synced to managed domain as these are guest accounts in the directory. Bu hesaplarla ilgili olarak, parolaları da dahil olmak üzere tüm bilgiler Azure AD 'nin dışında ve bu bilgiler Azure AD 'de olmadığından, yönetilen etki alanıyla eşitlenmeyebilir.The complete information about these accounts including their passwords would be outside of Azure AD and as this information is not in Azure AD hence it does not even get synced to the managed domain.

Başlamadan önceBefore you begin

Bu makaleyi tamamlayabilmeniz için aşağıdaki kaynaklar ve ayrıcalıklar gereklidir:To complete this article, you need the following resources and privileges:

Not

Azure AD DS etki alanı denetleyicilerine erişim olmadığından, yönetilen bir etki alanında Grup İlkesi Yönetim Şablonları için merkezi bir mağaza oluşturamaz ve kullanamazsınız.As there's no access to domain controllers in Azure AD DS, you can't create and use a Central Store for group policy administrative templates in a managed domain. SYSVOL, şirket içi Azure AD Connect eşitlemeye dahil değildir, bu nedenle şirket içi merkezi bir mağaza OLUŞTURUP Azure AD aracılığıyla Azure AD DS ile eşitleyemiyorsanız.Sysvol isn't included in on-premises Azure AD Connect synchronization, so you also can't create an on-premises Central Store and synchronize it to Azure AD DS through Azure AD.

grup ilkesi yönetim araçları 'nı yüklerInstall Group Policy Management tools

Grup ilkesi nesnesi (GPO) oluşturmak ve yapılandırmak için grup ilkesi yönetim araçlarını yüklemeniz gerekir.To create and configure Group Policy Object (GPOs), you need to install the Group Policy Management tools. Bu araçlar, Windows Server 'da bir özellik olarak yüklenebilir.These tools can be installed as a feature in Windows Server. Windows istemcisine yönetimsel araçların nasıl yükleneceği hakkında daha fazla bilgi için bkz. Install uzak sunucu yönetim araçları (RSAT).For more information on how to install the administrative tools on a Windows client, see install Remote Server Administration Tools (RSAT).

  1. Yönetim sanal makinenizde oturum açın.Sign in to your management VM. Azure portal kullanarak bağlanma adımları için bkz. Windows Server VM 'ye bağlanma.For steps on how to connect using the Azure portal, see Connect to a Windows Server VM.

  2. Sunucu Yöneticisi , VM 'de oturum açtığınızda varsayılan olarak açılmalıdır.Server Manager should open by default when you sign in to the VM. Aksi takdirde, Başlat menüsünde Sunucu Yöneticisi' yi seçin.If not, on the Start menu, select Server Manager.

  3. Sunucu Yöneticisi penceresinin Pano bölmesinde rol ve Özellik Ekle' yi seçin.In the Dashboard pane of the Server Manager window, select Add Roles and Features.

  4. Rol ve Özellik Ekleme Sihirbazı' nın başlamadan önce sayfasında İleri' yi seçin.On the Before You Begin page of the Add Roles and Features Wizard, select Next.

  5. Yükleme türüIçin, rol tabanlı veya özellik tabanlı yükleme seçeneğini işaretli bırakın ve İleri ' yiseçin.For the Installation Type, leave the Role-based or feature-based installation option checked and select Next.

  6. Sunucu seçimi sayfasında, sunucu havuzundan MYVM.AADDS.contoso.comgibi geçerli VM 'Yi seçin ve ardından İleri' yi seçin.On the Server Selection page, choose the current VM from the server pool, such as myvm.aadds.contoso.com, then select Next.

  7. Sunucu rolleri sayfasında, İleri' ye tıklayın.On the Server Roles page, click Next.

  8. Özellikler sayfasında Grup İlkesi Yönetimi özelliğini seçin.On the Features page, select the Group Policy Management feature.

    Özellikler sayfasından ' grup ilkesi Management ' öğesini yükler

  9. Onay sayfasında, yükler' i seçin.On the Confirmation page, select Install. Grup ilkesi yönetim araçlarını yüklemek bir dakika veya iki dakika sürebilir.It may take a minute or two to install the Group Policy Management tools.

  10. Özellik yüklemesi tamamlandığında, rol ve özellik ekleme Sihirbazı 'ndan çıkmak için Kapat ' ı seçin.When feature installation is complete, select Close to exit the Add Roles and Features wizard.

Grup İlkesi Yönetim Konsolu açma ve nesneyi düzenlemeOpen the Group Policy Management Console and edit an object

Azure AD DS yönetilen bir etki alanındaki kullanıcılar ve bilgisayarlar için varsayılan Grup İlkesi nesneleri (GPO 'Lar) vardır.Default group policy objects (GPOs) exist for users and computers in an Azure AD DS managed domain. Önceki bölümden yüklenmiş grup ilkesi yönetimi özelliği ile mevcut bir GPO 'YU görüntüleyip düzenleyelim.With the Group Policy Management feature installed from the previous section, let's view and edit an existing GPO. Sonraki bölümde, özel bir GPO oluşturursunuz.In the next section, you create a custom GPO.

Not

Azure AD DS yönetilen bir etki alanında Grup İlkesi 'ni yönetmek için AAD DC Administrators grubunun üyesi olan bir kullanıcı hesabında oturum açmış olmanız gerekir.To administer group policy in an Azure AD DS managed domain, you must be signed in to a user account that's a member of the AAD DC Administrators group.

  1. Başlangıç ekranından Yönetim Araçları' nı seçin.From the Start screen, select Administrative Tools. Önceki bölümde yüklü Grup İlkesi Yönetimi de dahil olmak üzere kullanılabilir yönetim araçlarının bir listesi gösterilir.A list of available management tools is shown, including Group Policy Management installed in the previous section.

  2. Grup İlkesi Yönetim Konsolu (GPMC) açmak için Grup İlkesi Yönetim' i seçin.To open the Group Policy Management Console (GPMC), choose Group Policy Management.

    Grup İlkesi Yönetim Konsolu, Grup İlkesi nesnelerini düzenlemeye hazırmı açılır

Aaddc bilgisayarları kapsayıcısı Için bir Azure AD DS yönetilen etki alanında iki yerleşik Grup İlkesi nesnesi (GPO) vardır ve bir diğeri Aaddc kullanıcıları kapsayıcısı için bir tane vardır.There are two built-in Group Policy Objects (GPOs) in an Azure AD DS managed domain - one for the AADDC Computers container, and one for the AADDC Users container. Bu GPO 'Ları, Azure AD DS yönetilen etki alanında gerektiğinde grup ilkesini yapılandırmak için özelleştirebilirsiniz.You can customize these GPOs to configure group policy as needed within your Azure AD DS managed domain.

  1. Grup İlkesi Yönetim konsolunda, Orman: aadds.contoso.com düğümünü genişletin.In the Group Policy Management console, expand the Forest: aadds.contoso.com node. Sonra, etki alanı düğümlerini genişletin.Next, expand the Domains nodes.

    Aaddc bilgisayarları ve Aaddc kullanıcılarıiçin iki yerleşik kapsayıcı bulunur.Two built-in containers exist for AADDC Computers and AADDC Users. Bu kapsayıcıların her birine, uygulanan varsayılan bir GPO vardır.Each of these containers has a default GPO applied to them.

    Varsayılan ' AADDC Computers ' ve ' AADDC Users ' kapsayıcılarına uygulanan yerleşik GPO 'Lar

  2. Bu yerleşik GPO 'Lar, Azure AD DS yönetilen etki alanında belirli grup ilkelerini yapılandırmak için özelleştirilebilir.These built-in GPOs can be customized to configure specific group policies on your Azure AD DS managed domain. GPO 'Lardan birini ( Aaddc bilgisayarları GPO 'sugibi) sağ seçin ve Düzenle... seçeneğini belirleyin.Right-select one of the GPOs, such as AADDC Computers GPO, then choose Edit....

    Yerleşik GPO 'Lardan birini ' düzenleme ' seçeneğini belirleyin

  3. Hesap ilkelerigıbı, GPO 'yu özelleştirmenizi sağlamak için Grup İlkesi Yönetimi Düzenleyicisi aracı açılır:The Group Policy Management Editor tool opens to let you customize the GPO, such as Account Policies:

    Ayarları gerektiği gibi yapılandırmak için GPO 'YU özelleştirme

    İşiniz bittiğinde, ilkeyi kaydetmek için dosya > kaydet ' i seçin.When done, choose File > Save to save the policy. Bilgisayarlar varsayılan olarak her 90 dakikada bir grup ilkesi yeniler ve yaptığınız değişiklikleri uygular.Computers refresh Group Policy by default every 90 minutes and apply the changes you made.

Özel bir grup ilkesi nesnesi oluşturmaCreate a custom Group Policy Object

Benzer ilke ayarlarını gruplamak için, tüm gerekli ayarları tek, varsayılan GPO 'da uygulamak yerine genellikle ek GPO 'Lar oluşturursunuz.To group similar policy settings, you often create additional GPOs instead of applying all of the required settings in the single, default GPO. Azure AD DS ile kendi özel Grup İlkesi nesnelerinizi oluşturup içeri aktarabilir ve bunları özel bir OU 'ya bağlayabilirsiniz.With Azure AD DS, you can create or import your own custom group policy objects and link them to a custom OU. Önce özel bir OU oluşturmanız gerekiyorsa, bkz. Azure AD DS yönetilen etki alanında özel bır OU oluşturma.If you need to first create a custom OU, see create a custom OU in an Azure AD DS managed domain.

  1. Grup İlkesi Yönetim konsolunda, mycustomougibi özel kuruluş birimi (OU) seçeneğini belirleyin.In the Group Policy Management console, select your custom organizational unit (OU), such as MyCustomOU. OU 'yu sağ seçin ve Bu etki alanında GPO oluştur ve buraya bağla ' yı seçin... :Right-select the OU and choose Create a GPO in this domain, and Link it here...:

    grup ilkesi yönetim konsolunda özel bir GPO oluşturma

  2. Yeni GPO için özel GPO 'IMgibi bir ad belirtin ve ardından Tamam' ı seçin.Specify a name for the new GPO, such as My custom GPO, then select OK. İsteğe bağlı olarak bu özel GPO 'YU mevcut bir GPO 'da ve ilke seçenekleri kümesinde temel alabilirsiniz.You can optionally base this custom GPO on an existing GPO and set of policy options.

    Yeni özel GPO için bir ad belirtin

  3. Özel GPO oluşturulup özel OU 'nuzun bağlanır.The custom GPO is created and linked to your custom OU. İlke ayarlarını şimdi yapılandırmak için özel GPO 'YU sağ seçin ve Düzenle... ' yi seçin:To now configure the policy settings, right-select the custom GPO and choose Edit...:

    Özel GPO 'nuzun ' düzenleme ' seçeneğini belirleyin

  4. Grup İlkesi Yönetimi Düzenleyicisi , GPO 'yu özelleştirmenize olanak sağlamak için açılır:The Group Policy Management Editor opens to let you customize the GPO:

    Ayarları gerektiği gibi yapılandırmak için GPO 'YU özelleştirme

    İşiniz bittiğinde, ilkeyi kaydetmek için dosya > kaydet ' i seçin.When done, choose File > Save to save the policy. Bilgisayarlar varsayılan olarak her 90 dakikada bir grup ilkesi yeniler ve yaptığınız değişiklikleri uygular.Computers refresh Group Policy by default every 90 minutes and apply the changes you made.

Sonraki adımlarNext steps

Grup İlkesi Yönetim Konsolu kullanarak yapılandırabileceğiniz kullanılabilir grup ilkesi ayarları hakkında daha fazla bilgi için bkz. Grup İlkesi tercih öğeleriyle çalışma.For more information on the available Group Policy settings that you can configure using the Group Policy Management Console, see Work with Group Policy preference items.