Администрирование групповая политика в управляемом домене доменных служб Azure Active Directory Administer Group Policy in an Azure Active Directory Domain Services managed domain

Параметры для объектов пользователей и компьютеров в доменных службах Azure Active Directory (Azure AD DS) часто управляются с помощью групповая политика объектов (GPO). Settings for user and computer objects in Azure Active Directory Domain Services (Azure AD DS) are often managed using Group Policy Objects (GPOs). AD DS Azure включает встроенные объекты групповой политики для контейнеров AADDC Users и AADDC Computers . Azure AD DS includes built-in GPOs for the AADDC Users and AADDC Computers containers. Эти встроенные объекты групповой политики можно настроить для настройки групповая политика в соответствии с потребностями среды. You can customize these built-in GPOs to configure Group Policy as needed for your environment. Члены группы администраторов контроллера домена Azure AD имеют групповая политика привилегии администрирования в домене AD DS Azure, а также могут создавать пользовательские объекты групповой политики и подразделения (OU). Members of the Azure AD DC administrators group have Group Policy administration privileges in the Azure AD DS domain, and can also create custom GPOs and organizational units (OUs). Дополнительные сведения о том, что такое групповая политика и как он работает, см. в разделе Общие сведения о групповая политика. More more information on what Group Policy is and how it works, see Group Policy overview.

В гибридной среде групповые политики, настроенные в локальной среде AD DS, не синхронизируются с Azure AD DS. In a hybrid environment, group policies configured in an on-premises AD DS environment aren’t synchronized to Azure AD DS. Чтобы определить параметры конфигурации для пользователей или компьютеров в AD DS Azure, измените один из объектов групповой политики по умолчанию или создайте пользовательский объект групповой политики. To define configuration settings for users or computers in Azure AD DS, edit one of the default GPOs or create a custom GPO.

В этой статье показано, как установить средства управления групповая политика, а затем изменить встроенные объекты групповой политики и создать пользовательские объекты групповой политики. This article shows you how to install the Group Policy Management tools, then edit the built-in GPOs and create custom GPOs.

Перед началом Before you begin

Для работы с этой статьей требуются следующие ресурсы и разрешения: To complete this article, you need the following resources and privileges:

• Активная подписка Azure. An active Azure subscription.
  • Если у вас еще нет подписки Azure, создайте учетную запись. If you don’t have an Azure subscription, create an account.
• Связанный с вашей подпиской клиент Azure Active Directory, синхронизированный с локальным или облачным каталогом. An Azure Active Directory tenant associated with your subscription, either synchronized with an on-premises directory or a cloud-only directory.
  • Если потребуется, создайте клиент Azure Active Directory или свяжите подписку Azure со своей учетной записью. If needed, create an Azure Active Directory tenant or associate an Azure subscription with your account.
• Управляемый домен доменных служб Azure Active Directory, включенный и настроенный в клиенте Azure AD. An Azure Active Directory Domain Services managed domain enabled and configured in your Azure AD tenant.
  • При необходимости выполните инструкции из руководства по созданию и настройке управляемого домена доменных служб Azure Active Directory. If needed, complete the tutorial to create and configure an Azure Active Directory Domain Services managed domain.
• Виртуальная машина управления Windows Server, присоединенная к управляемому домену AD DS Azure. A Windows Server management VM that is joined to the Azure AD DS managed domain.
  • При необходимости завершите учебник, чтобы создать виртуальную машину Windows Server и присоединить ее к управляемому домену. If needed, complete the tutorial to create a Windows Server VM and join it to a managed domain.
• Учетная запись пользователя, входящая в группу администраторов Azure AD DC в клиенте Azure AD. A user account that’s a member of the Azure AD DC administrators group in your Azure AD tenant.

Вы можете использовать групповая политика административные шаблоны, скопировав новые шаблоны на рабочую станцию управления. You can use Group Policy Administrative Templates by copying the new templates to the management workstation. Скопируйте файлы ADMX в %SYSTEMROOT%\PolicyDefinitions и скопируйте файлы. ADML для конкретного языкового стандарта в %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion] , где Language-CountryRegion соответствует языку и региону файлов ADML . Copy the .admx files into %SYSTEMROOT%\PolicyDefinitions and copy the locale-specific .adml files to %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion] , where Language-CountryRegion matches the language and region of the .adml files.

Например, скопируйте на английскую версию США версии файлов ADML в \en-us папку. For example, copy the English, United States version of the .adml files into the \en-us folder.

Кроме того, можно централизованно хранить административный шаблон групповая политика на контроллерах домена, входящих в управляемый домен. Alternatively, you can centrally store your Group Policy Administrative Template on the domain controllers that are part of the managed domain. Дополнительные сведения см. в статье Создание центрального хранилища для групповая политика административные шаблоны в Windows и управление им. For more information, see How to create and manage the Central Store for Group Policy Administrative Templates in Windows.

Установка средств управления групповая политика Install Group Policy Management tools

Для создания и настройки групповая политика объектов (GPO) необходимо установить средства управления групповая политика. To create and configure Group Policy Object (GPOs), you need to install the Group Policy Management tools. Эти средства можно установить в качестве компонента Windows Server. These tools can be installed as a feature in Windows Server. Дополнительные сведения об установке средств администрирования на клиенте Windows см. в разделе Install средства удаленного администрирования сервера (RSAT). For more information on how to install the administrative tools on a Windows client, see install Remote Server Administration Tools (RSAT).

Войдите на виртуальную машину управления. Sign in to your management VM. Инструкции по подключению с помощью портал Azure см. в разделе Подключение к виртуальной машине Windows Server. For steps on how to connect using the Azure portal, see Connect to a Windows Server VM.

При входе в виртуальную машину по умолчанию должен открываться диспетчер сервера. Server Manager should open by default when you sign in to the VM. Если это не произойдет, откройте меню Пуск и выберите Диспетчер сервера. If not, on the Start menu, select Server Manager.

На панели управления в окне диспетчера серверов щелкните Добавить роли и компоненты. In the Dashboard pane of the Server Manager window, select Add Roles and Features.

На странице Перед началом работы в мастере добавления ролей и компонентов щелкните Далее. On the Before You Begin page of the Add Roles and Features Wizard, select Next.

В разделе Тип установки оставьте флажок Установка ролей или компонентов и щелкните Далее. For the Installation Type, leave the Role-based or feature-based installation option checked and select Next.

На странице Выбор сервера выберите из пула серверов текущую виртуальную машину, например myvm.aaddscontoso.com, и щелкните Далее. On the Server Selection page, choose the current VM from the server pool, such as myvm.aaddscontoso.com, then select Next.

На странице Роли сервера нажмите кнопку Далее. On the Server Roles page, click Next.

На странице Функции выберите Управление групповой политикой. On the Features page, select the Group Policy Management feature.

На странице Подтверждение щелкните Установить. On the Confirmation page, select Install. Установка средств управления групповая политика может занять одну или две минуты. It may take a minute or two to install the Group Policy Management tools.

Когда установка компонента завершится, нажмите кнопку Закрыть, чтобы выйти из мастера добавления ролей и компонентов. When feature installation is complete, select Close to exit the Add Roles and Features wizard.

Открытие консоль управления групповыми политиками и изменение объекта Open the Group Policy Management Console and edit an object

Объекты групповой политики по умолчанию (GPO) существуют для пользователей и компьютеров в управляемом домене. Default group policy objects (GPOs) exist for users and computers in a managed domain. Функция управления групповая политика, установленная из предыдущего раздела, позволяет просматривать и редактировать существующий объект GPO. With the Group Policy Management feature installed from the previous section, let’s view and edit an existing GPO. В следующем разделе вы создадите пользовательский объект групповой политики. In the next section, you create a custom GPO.

Для администрирования групповой политики в управляемом домене необходимо войти в учетную запись пользователя, которая является членом группы администраторов контроллера домена AAD . To administer group policy in a managed domain, you must be signed in to a user account that’s a member of the AAD DC Administrators group.

На начальном экране выберите Администрирование. From the Start screen, select Administrative Tools. Отобразится список доступных средств управления, включая управление групповая политика , установленное в предыдущем разделе. A list of available management tools is shown, including Group Policy Management installed in the previous section.

Чтобы открыть консоль управления групповыми политиками (GPMC), выберите управление групповая политика. To open the Group Policy Management Console (GPMC), choose Group Policy Management.

В управляемом домене есть два встроенных групповая политика объектов (GPO) — один для контейнера Computers AADDC , а другой — для контейнера Пользователи AADDC . There are two built-in Group Policy Objects (GPOs) in a managed domain — one for the AADDC Computers container, and one for the AADDC Users container. Эти объекты групповой политики можно настроить таким образом, чтобы при необходимости настроить групповую политику в управляемом домене. You can customize these GPOs to configure group policy as needed within your managed domain.

В консоли управления групповая политика разверните узел лес: aaddscontoso.com . In the Group Policy Management console, expand the Forest: aaddscontoso.com node. Затем разверните узлы домены . Next, expand the Domains nodes.

Существуют два встроенных контейнера для AADDC компьютеров и пользователей AADDC. Two built-in containers exist for AADDC Computers and AADDC Users. К каждому из этих контейнеров применяется объект групповой политики по умолчанию. Each of these containers has a default GPO applied to them.

Эти встроенные объекты групповой политики можно настроить для настройки конкретных групповых политик в управляемом домене. These built-in GPOs can be customized to configure specific group policies on your managed domain. Щелкните правой кнопкой мыши один из объектов групповой политики, например AADDC Computers, а затем выберите изменить. . Right-select one of the GPOs, such as AADDC Computers GPO, then choose Edit. .

Откроется средство редактор «Управление групповыми политиками», позволяющее настроить объект групповой политики, например политики учетной записи. The Group Policy Management Editor tool opens to let you customize the GPO, such as Account Policies:

По завершении выберите файл > сохранить , чтобы сохранить политику. When done, choose File > Save to save the policy. По умолчанию компьютеры обновляют групповая политика каждые 90 минут и применяют внесенные изменения. Computers refresh Group Policy by default every 90 minutes and apply the changes you made.

Создание пользовательского групповая политика объекта Create a custom Group Policy Object

Для группирования аналогичных параметров политики часто создаются дополнительные объекты групповой политики вместо применения всех необходимых параметров в отдельном объекте групповой политики по умолчанию. To group similar policy settings, you often create additional GPOs instead of applying all of the required settings in the single, default GPO. С помощью Azure AD DS можно создать или импортировать собственные объекты групповой политики и связать их с пользовательским подразделением. With Azure AD DS, you can create or import your own custom group policy objects and link them to a custom OU. Если необходимо сначала создать пользовательское подразделение, см. раздел Создание настраиваемого подразделения в управляемом домене. If you need to first create a custom OU, see create a custom OU in a managed domain.

В консоли управления групповая политика выберите Пользовательское подразделение (OU), например MyCustomOU. In the Group Policy Management console, select your custom organizational unit (OU), such as MyCustomOU. Щелкните правой кнопкой мыши подразделение и выберите создать объект GPO в этом домене и свяжите его. : Right-select the OU and choose Create a GPO in this domain, and Link it here. :

Укажите имя для нового объекта групповой политики, например мой пользовательский объект групповой политики, а затем нажмите кнопку ОК. Specify a name for the new GPO, such as My custom GPO, then select OK. При необходимости можно создать этот пользовательский объект групповой политики на основе существующего объекта групповой политики и набора параметров политики. You can optionally base this custom GPO on an existing GPO and set of policy options.

Пользовательский объект групповой политики создается и связывается с пользовательским подразделением. The custom GPO is created and linked to your custom OU. Чтобы настроить параметры политики, щелкните правой кнопкой мыши настраиваемый объект групповой политики и выберите пункт изменить. : To now configure the policy settings, right-select the custom GPO and choose Edit. :

Откроется редактор «Управление групповыми политиками» , позволяющий настроить объект групповой политики: The Group Policy Management Editor opens to let you customize the GPO:

По завершении выберите файл > сохранить , чтобы сохранить политику. When done, choose File > Save to save the policy. По умолчанию компьютеры обновляют групповая политика каждые 90 минут и применяют внесенные изменения. Computers refresh Group Policy by default every 90 minutes and apply the changes you made.

Дальнейшие действия Next steps

Дополнительные сведения о доступных параметрах групповая политика, которые можно настроить с помощью консоль управления групповыми политиками, см. в разделе Работа с элементами предпочтений групповая политика. For more information on the available Group Policy settings that you can configure using the Group Policy Management Console, see Work with Group Policy preference items.