Administrar a Política de Grupo em um domínio gerenciado pelo Microsoft Entra Domain Services

Como fazer
10/25/2023

As configurações para objetos de usuário e computador no Microsoft Entra Domain Services geralmente são gerenciadas usando Objetos de Política de Grupo (GPOs). O Domain Services inclui GPOs internos para os contêineres Usuários AADDC e Computadores AADDC. Você pode personalizar esses GPOs internos para configurar a Política de Grupo conforme necessário para o seu ambiente. Os membros do grupo de Administradores do AAD DC têm privilégios de administração da Política de Grupo no domínio do Domain Services e também podem criar GPOs e UOs (unidades organizacionais) personalizados. Para obter mais informações sobre o que a Política de Grupo é e como funciona, confira Visão geral da Política de Grupo.

Em um ambiente híbrido, as políticas de grupo configuradas em um ambiente do AD DS local não são sincronizadas com o Domain Services. Para definir as configurações para usuários ou computadores no Domain Services, edite um dos GPOs padrão ou crie um GPO personalizado.

Este artigo mostra como instalar as ferramentas de gerenciamento da Política de Grupo e, em seguida, editar os GPOs internos e criar GPOs personalizados.

Se estiver interessado na estratégia de gerenciamento de servidor, incluindo os computadores no Azure e com a conexão híbrida, considere a leitura sobre o recurso configuração de convidado do Azure Policy.

Pré-requisitos

Para concluir este artigo, você precisará dos seguintes recursos e privilégios:

Uma assinatura ativa do Azure.
- Caso não tenha uma assinatura do Azure, crie uma conta.
Um locatário do Microsoft Entra associado com a assinatura, sincronizado com um diretório local ou somente em nuvem.
- Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
Um domínio gerenciado do Microsoft Entra Domain Services habilitado e configurado em seu locatário do Microsoft Entra.
- Se necessário, conclua o tutorial Criar e configurar um domínio gerenciado do Microsoft Entra Domain Services.
Uma VM de gerenciamento do Windows Server que está ingressada no domínio gerenciado do Domain Services.
- Se necessário, conclua o tutorial para criar uma VM do Windows Server e conectá-la a um domínio gerenciado.
Uma conta de usuário que é membro do grupo de Administradores do AAD DC em seu locatário do Microsoft Entra.

Observação

Você pode usar os Modelos Administrativos da Política de Grupo copiando os novos modelos para a estação de trabalho de gerenciamento. Copie os arquivos .admx em %SYSTEMROOT%\PolicyDefinitions e copie os arquivos .adml específicos da localidade em %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], em que Language-CountryRegion corresponde ao idioma e à região dos arquivos .adml.

Por exemplo, copie a versão em inglês dos Estados Unidos dos arquivos .adml na pasta \en-us.

Instalar as ferramentas de gerenciamento da Política de Grupo

Para criar e configurar GPOs (Objeto de Política de Grupo), você precisa instalar as ferramentas de gerenciamento da Política de Grupo. Essas ferramentas podem ser instaladas como um recurso no Windows Server. Para obter mais informações sobre como instalar as ferramentas administrativas em um cliente do Windows, confira Instalar RSAT (Ferramentas de Administração de Servidor Remoto).

Entre na VM de gerenciamento. Para obter as etapas sobre como se conectar usando o centro de administração do Microsoft Entra, consulte Conectar-se a uma VM do Windows Server.
O Gerenciador do Servidor deve abrir por padrão ao entrar na VM. Caso contrário, no menu Iniciar, selecione Gerenciador do Servidor.
No painel Dashboard da janela Gerenciador do Servidor, selecione Adicionar Funções e Recursos.
Na página Antes de Você Começar do Assistente de Adição de Funções e Recursos, selecione Avançar.
Para o Tipo de Instalação, deixe a opção Instalação baseada em função ou recurso marcada e selecione Avançar.
Na página Seleção de Servidor, escolha a VM atual no pool de servidores, como myvm.aaddscontoso.com e, em seguida, selecione Avançar.
Na página Funções do Servidor, clique em Avançar.
Na página Recursos, selecione o recurso Gerenciamento de Política de Grupo.
Na página Confirmação, selecione Instalar. A instalação das ferramentas de gerenciamento da Política de Grupo pode levar um ou dois minutos.
Quando a instalação do recurso for concluída, selecione Fechar para sair do Assistente de Adição de Funções e Recursos.

Abrir o Console de Gerenciamento de Política de Grupo e editar um objeto

Os GPOs (Objetos de Política de Grupo) padrão existem para usuários e computadores em um domínio gerenciado. Com o recurso de Gerenciamento de Política de Grupo instalado na seção anterior, vamos exibir e editar um GPO existente. Na próxima seção, você criará um GPO personalizado.

Observação

Para administrar uma Política de Grupo em um domínio gerenciado, esteja conectado a uma conta de usuário que seja membro do grupo de Administradores do AAD DC.

Na tela Iniciar, selecione Ferramentas Administrativas. Uma lista de ferramentas de gerenciamento disponíveis é mostrada, incluindo o Gerenciamento de Política de Grupo instalado na seção anterior.
Para abrir o GPMC (Console de Gerenciamento de Política de Grupo), escolha Gerenciamento de Política de Grupo.

Há dois GPOs (Objetos de Política de Grupo) internos em um domínio gerenciado, um para o contêiner Computadores AADDC e outro para o contêiner Usuários AADDC. Você pode personalizar esses GPOs para configurar a política de grupo no domínio gerenciado, conforme necessário.

No Console de Gerenciamento de Política de Grupo, expanda o nó Floresta: aaddscontoso.com. Em seguida, expanda os nós Domínios.

Existem dois contêineres internos para Computadores AADDC e Usuários AADDC. Cada um desses contêineres tem um GPO padrão aplicado a eles.
Esses GPOs internos podem ser personalizados para configurar políticas de grupo específicas em seu domínio gerenciado. Selecione um dos GPOs com o botão direito do mouse, como o GPO Computadores AADDC, e escolha Editar... .
A ferramenta Editor de Gerenciamento de Política de Grupo é aberta para permitir que você personalize o GPO, como Políticas de Conta:

Quando terminar, escolha Arquivo > Salvar para salvar a política. Os computadores atualizam a Política de Grupo por padrão a cada 90 minutos e aplicam as alterações feitas.

Criar um Objeto de Política de Grupo personalizado

Para agrupar configurações de política semelhantes, você geralmente cria GPOs adicionais em vez de aplicar todas as configurações necessárias no GPO único, padrão. Com o Domain Services, você pode criar ou importar seus objetos de política de grupo personalizados e vinculá-los a uma UO personalizada. Se você precisar criar primeiro uma UO personalizada, confira Criar uma UO personalizada em um domínio gerenciado.

No Console de Gerenciamento de Política de Grupo, selecione a UO (unidade organizacional) personalizada, como MyCustomOU. Selecione a UO com o botão direito do mouse e escolha Criar um GPO neste domínio e vinculá-lo aqui... :
Especifique um nome para o novo GPO, como Meu GPO personalizado e, em seguida, selecione OK. Opcionalmente, você pode basear esse GPO personalizado em um GPO existente e no conjunto de opções de política.
O GPO personalizado é criado e vinculado à sua UO personalizada. Para definir as configurações de política, selecione o GPO personalizado com o botão direito do mouse e escolha Editar... :
O Editor de Gerenciamento de Política de Grupo é aberto para permitir que você personalize o GPO:

Quando terminar, escolha Arquivo > Salvar para salvar a política. Os computadores atualizam a Política de Grupo por padrão a cada 90 minutos e aplicam as alterações feitas.