Administrar a Política de Grupo num domínio gerido pelos Serviços de Domínio Microsoft Entra

Procedimentos
10/19/2023

As configurações para objetos de usuário e computador nos Serviços de Domínio do Microsoft Entra geralmente são gerenciadas usando GPOs (Objetos de Política de Grupo). Os Serviços de Domínio incluem GPOs internos para os contêineres Usuários AADDC e Computadores AADDC. Pode personalizar estes GPOs incorporados para configurar a Política de Grupo conforme necessário para o seu ambiente. Os membros do grupo Administradores de DC do AAD têm privilégios de administração de Diretiva de Grupo no domínio Serviços de Domínio e também podem criar GPOs e unidades organizacionais (OUs) personalizados. Para obter mais informações sobre o que é Diretiva de Grupo e como ela funciona, consulte Visão geral da Diretiva de Grupo.

Em um ambiente híbrido, as políticas de grupo configuradas em um ambiente AD DS local não são sincronizadas com os Serviços de Domínio. Para definir definições de configuração para usuários ou computadores nos Serviços de Domínio, edite um dos GPOs padrão ou crie um GPO personalizado.

Este artigo mostra como instalar as ferramentas de Gerenciamento de Diretiva de Grupo e, em seguida, editar os GPOs internos e criar GPOs personalizados.

Se você estiver interessado na estratégia de gerenciamento de servidor, incluindo máquinas no Azure e conectadas híbridas, considere ler sobre o recurso de configuração de convidado da Política do Azure.

Pré-requisitos

Para concluir este artigo, você precisa dos seguintes recursos e privilégios:

Uma subscrição ativa do Azure.
- Se você não tiver uma assinatura do Azure, crie uma conta.
Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
- Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
Um domínio gerenciado dos Serviços de Domínio Microsoft Entra habilitado e configurado em seu locatário do Microsoft Entra.
- Se necessário, conclua o tutorial para criar e configurar um domínio gerenciado dos Serviços de Domínio Microsoft Entra.
Uma VM de gerenciamento do Windows Server que ingressou no domínio gerenciado dos Serviços de Domínio.
- Se necessário, conclua o tutorial para criar uma VM do Windows Server e associá-la a um domínio gerenciado.
Uma conta de usuário que seja membro do grupo Administradores de DC do AAD em seu locatário do Microsoft Entra.

Nota

Você pode usar os Modelos Administrativos de Diretiva de Grupo copiando os novos modelos para a estação de trabalho de gerenciamento. Copie os arquivos .admx e %SYSTEMROOT%\PolicyDefinitions copie os arquivos .adml específicos da localidade para %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], onde Language-CountryRegion corresponde ao idioma e à região dos arquivos .adml.

Por exemplo, copie a versão em inglês, Estados Unidos dos arquivos .adml para a \en-us pasta.

Instalar ferramentas de Gerenciamento de Política de Grupo

Para criar e configurar GPOs (Objeto de Diretiva de Grupo), você precisa instalar as ferramentas de Gerenciamento de Diretiva de Grupo. Essas ferramentas podem ser instaladas como um recurso no Windows Server. Para obter mais informações sobre como instalar as ferramentas administrativas em um cliente Windows, consulte instalar as Ferramentas de Administração de Servidor Remoto (RSAT).

Inicie sessão na sua VM de gestão. Para obter etapas sobre como se conectar usando o centro de administração do Microsoft Entra, consulte Conectar-se a uma VM do Windows Server.
O Gerenciador do Servidor deve ser aberto por padrão quando você entrar na VM. Caso contrário, no menu Iniciar , selecione Gerenciador do Servidor.
No painel Painel da janela Gerenciador do Servidor, selecione Adicionar Funções e Recursos.
Na página Antes de Começar do Assistente para Adicionar Funções e Recursos, selecione Avançar.
Para o Tipo de Instalação, deixe a opção de instalação baseada em função ou recurso marcada e selecione Avançar.
Na página Seleção do Servidor, escolha a VM atual no pool de servidores, como myvm.aaddscontoso.com, e selecione Avançar.
Na página Funções de Servidor, clique em Avançar.
Na página Recursos, selecione o recurso Gerenciamento de Política de Grupo.
Na página Confirmação, selecione Instalar. Pode levar um ou dois minutos para instalar as ferramentas de Gerenciamento de Diretiva de Grupo.
Quando a instalação do recurso estiver concluída, selecione Fechar para sair do assistente Adicionar funções e recursos .

Abra o Console de Gerenciamento de Diretiva de Grupo e edite um objeto

Existem objetos de política de grupo (GPOs) padrão para usuários e computadores em um domínio gerenciado. Com o recurso Gerenciamento de Diretiva de Grupo instalado na seção anterior, vamos exibir e editar um GPO existente. Na próxima seção, você cria um GPO personalizado.

Nota

Para administrar a Política de Grupo em um domínio gerenciado, você deve estar conectado a uma conta de usuário que seja membro do grupo Administradores de DC do AAD.

Na tela Iniciar, selecione Ferramentas Administrativas. É apresentada uma lista de ferramentas de gestão disponíveis, incluindo a Gestão de Políticas de Grupo instalada na secção anterior.
Para abrir o GPMC (Console de Gerenciamento de Diretiva de Grupo), escolha Gerenciamento de Diretiva de Grupo.

Há dois GPOs (Objetos de Diretiva de Grupo) internos em um domínio gerenciado - um para o contêiner Computadores AADDC e outro para o contêiner Usuários AADDC. Você pode personalizar esses GPOs para configurar a política de grupo conforme necessário em seu domínio gerenciado.

No console de Gerenciamento de Diretiva de Grupo, expanda o nó Floresta: aaddscontoso.com. Em seguida, expanda os nós Domínios .

Existem dois contêineres internos para computadores AADDC e usuários AADDC. Cada um desses contêineres tem um GPO padrão aplicado a eles.
Esses GPOs internos podem ser personalizados para configurar políticas de grupo específicas em seu domínio gerenciado. Selecione com o botão direito do mouse um dos GPOs, como o GPO de Computadores AADDC, e escolha Editar....
A ferramenta Editor de Gerenciamento de Diretiva de Grupo é aberta para permitir que você personalize o GPO, como Diretivas de Conta:

Quando terminar, escolha Salvar arquivo > para salvar a política. Os computadores atualizam a Diretiva de Grupo por padrão a cada 90 minutos e aplicam as alterações feitas.

Criar um objeto de diretiva de grupo personalizado

Para agrupar configurações de diretiva semelhantes, você geralmente cria GPOs adicionais em vez de aplicar todas as configurações necessárias no único GPO padrão. Com os Serviços de Domínio, você pode criar ou importar seus próprios objetos de política de grupo personalizados e vinculá-los a uma UO personalizada. Se você precisar primeiro criar uma UO personalizada, consulte Criar uma UO personalizada em um domínio gerenciado.

No console de Gerenciamento de Diretiva de Grupo, selecione sua unidade organizacional (UO) personalizada, como MyCustomOU. Selecione com o botão direito do mouse a UO e escolha Criar um GPO neste domínio e vincule-o aqui...:
Especifique um nome para o novo GPO, como Meu GPO personalizado, e selecione OK. Opcionalmente, você pode basear esse GPO personalizado em um GPO existente e em um conjunto de opções de política.
O GPO personalizado é criado e vinculado à sua UO personalizada. Para definir agora as configurações de política, selecione com o botão direito do mouse o GPO personalizado e escolha Editar...:
O Editor de Gerenciamento de Diretiva de Grupo é aberto para permitir que você personalize o GPO:

Quando terminar, escolha Salvar arquivo > para salvar a política. Os computadores atualizam a Diretiva de Grupo por padrão a cada 90 minutos e aplicam as alterações feitas.