Ich habe Probleme, ein Gruppenrichtlinienobjekt (GPO) für eine bestimmte Organisationseinheit nicht gelten zu lassen.
Ich habe eine Bitlocker-Gruppenrichtlinie, die ein Kennwort auf Domänenebene verwendet (gilt also für jede Organisationseinheit), aber ich möchte die Computer und Benutzer ausschließen, die Teil der Sicherheitsorganisationseinheit sind. Weil ich auf diesen Computern USB mit einem Schlüssel verwenden möchte.
Ich habe diese Lösung ausprobierthttps://www.faqforge.com/windows-server-2016/exclude-user-computer-group-policy-object/wo Sie die Computer und Benutzer zu einer Gruppe hinzufügen und die auf die Gruppe angewendete GPO auf Domänenebene ablehnen.
Aber ich erhalte eine Fehlermeldung, wenn ich versuche, einen Computer in der Organisationseinheit mit BitLocker zu sperren. Es heißt, ich hätte widersprüchliche BitLocker-GPOs.
Was zu tun?
Antwort1
Obwohl es bereits gesagt wurde, werde ich es hier einfügen, damit es nicht in Kommentaren versteckt wird. Vor allem, weil Sie, wie Sie gesagt haben, einfach weitergemacht und Ihre neue Richtlinie auf die Domänen-Root angewendet haben, ohne sie vorher auch nur in einer untergeordneten Organisationseinheit zu testen?
Das ist eine unglaublich riskante Idee und Sie können von Glück reden, dass Sie Ihre DCs oder ähnliches nicht ausgesperrt haben.
Nummer eins: Entfernen Sie Ihre Bitlocker-Richtlinie im Domänenstamm. Die einzigen Richtlinien, die Sie dort haben sollten, sind Ihre grundlegenden Sicherheitsrichtlinien wie Kennwortlänge, Kontosperrung und all diese grundlegenden Dinge.
Zweitens sollten Sie darüber nachdenken, wie Ihre Richtlinien aussehen sollen. Sollten sieWirklichauf jedes einzelne Objekt in der Domäne angewendet werden, oder sollen sie nur auf Computer oder Benutzer angewendet werden? OderausgewähltBenutzer oder Computer? Dies gibt an, wie Sie Ihre Richtlinien verknüpfen.
Legen Sie alle Ihre Computerobjekte in einer Organisationseinheit (oder einer Organisationseinheit der obersten Ebene und dann nach Bedarf in untergeordneten Organisationseinheiten) ab. Ich empfehle Ihnen dringend, separate Organisationseinheiten der obersten Ebene für Mitgliedsserver und Mitgliedsarbeitsstationen zu haben. Wenden Sie Ihre Bitlocker-Richtlinie nach Bedarf in der Organisationseinheit der Arbeitsstationen der obersten Ebene und/oder der Organisationseinheit der Server an.
Wenn Sie die Richtlinie von Ihren „Sicherheits“-Computern ausschließen möchten (welch eine Ironie), erstellen Sie für diese eine weitere Organisationseinheit der obersten Ebene.
Mischen Sie zur allgemeinen Verwaltung keine Benutzerobjekte und Computerobjekte in denselben Organisationseinheiten der obersten Ebene. Das ist mühsam zu verwalten und macht LDAP-Abfragen sehr ineffizient, wenn die Domäne größer wird. Legen Sie dieselben Objektklassen (z. B. Benutzer, Computer) in einzelne Organisationseinheiten und erstellen Sie dann bei Bedarf Unterorganisationseinheiten für diese Objekte.
Fallen Sie nicht in die alte Falle, für jede Abteilung eine Unterorganisationseinheit zu erstellen, es sei denn, Sie haben buchstäblich separate IT-Managementteams für jede Abteilung – Sie benötigen nur dann neue Unterorganisationseinheiten, wenn Sie OU-Berechtigungen oder -Richtlinien anpassen müssen. Für Richtlinien würde ich heutzutage im Allgemeinen empfehlen, AD-Gruppen für Benutzer-/Computerobjekte zu verwenden, auf die Sie abzielen möchten, oder Computer-WMI-Abfragen, um den Umfang für granulare Richtlinien einzuschränken.
Und stellen Sie sicher, dass Sie keine Benutzer- oder Computerkonten in den Standardcontainern „Benutzer“ oder „Computer“ belassen. In „Benutzer“ sollten sich nur die Standardkonten und -gruppen befinden, die in der Domäne erstellt werden (und einige davon sollten zu gegebener Zeit aus Sicherheitsgründen verschoben werden – jedes später erstellte Konto sollte in eine entsprechende Organisationseinheit verschoben werden).
Und machen Sie eine Schulung zur Gruppenrichtlinienverwaltung.