GPO を特定の OU に適用しないようにする方法

すでに言われていますが、コメントに隠れないようにここに貼り付けておきます。主な理由は、あなたが言ったことから、最初にサブ OU でテストすることなく、ドメイン ルートで新しいポリシーを適用してしまったからです。

それは非常に危険なアイデアであり、DC などをロックアウトしていないのは幸運です。

まず、ドメイン ルートの BitLocker ポリシーを削除します。そこに設定する必要があるポリシーは、パスワードの長さ、アカウントのロックアウトなど、基本的なセキュリティ ポリシーだけです。

次に、ポリシーの範囲をどのように設定するかについて考え始めます。本当にドメイン内のすべてのオブジェクトに適用すべきでしょうか、それともコンピュータやユーザーにのみ適用すべきでしょうか？選択されたユーザーですか、それともコンピュータですか? これにより、ポリシーをリンクする方法が通知されます。

すべてのコンピューター オブジェクトを 1 つの OU (または最上位 OU と、必要に応じてサブ OU) に配置します。メンバー サーバーとメンバー ワークステーションには、別々の最上位 OU を用意することを強くお勧めします。必要に応じて、最上位ワークステーション OU および/またはサーバー OU に BitLocker ポリシーを適用します。

「セキュリティ」コンピュータからポリシーを除外したい場合 (皮肉なことに)、それらのコンピュータ用に別の最上位 OU を作成します。

一般的な管理では、ユーザー オブジェクトとコンピューター オブジェクトを同じ最上位 OU に混在させないでください。ドメインが大きくなると、管理が面倒になり、LDAP クエリの効率が非常に悪くなります。同じオブジェクト クラス (ユーザー、コンピューターなど) を個別の OU に配置し、必要に応じてそれらのオブジェクトのサブ OU を作成します。

各部門に文字通り別々の IT 管理チームがある場合を除いて、すべての部門にサブ OU を作成するという従来の罠にはまらないようにしてください。新しいサブ OU が必要になるのは、OU のアクセス許可またはポリシーをカスタマイズする必要がある場合のみです。ポリシーについては、最近では、対象とするユーザー/コンピューター オブジェクトに AD グループを使用するか、コンピューターの WMI クエリを使用して、詳細なポリシーの範囲を制限することが一般的に推奨されています。

また、ユーザー アカウントやコンピューター アカウントを既定のユーザー コンテナーやコンピューター コンテナーに残さないようにしてください。ユーザー コンテナーに含める必要があるのは、ドメインで作成される既定のアカウントとグループのみです (これらの一部は、セキュリティ上の理由から、いずれ移動する必要があります。その後に作成されるアカウントは、適切な OU に配置する必要があります)。

グループ ポリシー管理に関するトレーニングも行います。