Tengo problemas para hacer que un GPO no se aplique a una determinada unidad organizativa.
Tengo un GPO de bitlocker que usa contraseña a nivel de dominio. (esto se aplica a todas las unidades organizativas), pero quiero excluir la computadora y los usuarios que forman parte de la unidad organizativa de seguridad. Porque quiero usar USB con llave en esas computadoras.
He probado esta soluciónhttps://www.faqforge.com/windows-server-2016/exclude-user-computer-group-policy-object/donde agrega las computadoras y los usuarios a un grupo y niega el gpo de nivel de dominio que se aplica al grupo.
Pero aparece un error al intentar bloquear una computadora en la unidad organizativa. Dice que tengo GPO de Bitlocker en conflicto.
¿Qué hacer?
Respuesta1
Si bien ya se ha dicho, voy a dejar esto aquí para que no se oculte en los comentarios. Principalmente porque, por lo que ha dicho, simplemente siguió adelante y aplicó su nueva política en la raíz del dominio sin siquiera probarla primero en una sub-OU.
Esa es una idea increíblemente arriesgada y tienes suerte de no haber bloqueado tus DC o algo así.
Número uno: deshazte de tu política de Bitlocker en la raíz del dominio. Prácticamente las únicas políticas que debería tener son las políticas de seguridad básicas, como la longitud de la contraseña, el bloqueo de la cuenta y todas esas cosas fundamentales.
En segundo lugar, empiece a pensar en el alcance de sus políticas. Deberían ellosen realidad¿Se aplican a todos los objetos del dominio, o deberían aplicarse solo a computadoras o usuarios? Oseleccionado¿Usuarios o computadoras? Esto informa cómo va a vincular sus políticas.
Coloque todos los objetos de su computadora en una unidad organizativa (o una unidad organizativa de nivel superior y luego subunidades organizativas según sea necesario). Le recomiendo encarecidamente que tenga unidades organizativas de nivel superior separadas para los servidores y estaciones de trabajo miembros. Aplique su política de Bitlocker en la unidad organizativa de las estaciones de trabajo de nivel superior y/o en la unidad organizativa de los servidores, según sea necesario.
Si desea excluir la política de sus computadoras de "seguridad" (qué ironía), cree otra unidad organizativa de nivel superior para ellas.
Para la administración general, no mezcle objetos de usuario y objetos de computadora en las mismas unidades organizativas de nivel superior. Es complicado de administrar y hace que las consultas LDAP sean muy ineficientes una vez que el dominio crece. Coloque las mismas clases de objetos (por ejemplo, usuarios, computadoras) en unidades organizativas individuales y luego cree subunidades organizativas para esos objetos si es necesario.
No caiga en la trampa heredada de crear subunidades organizativas para cada departamento a menos que literalmente tenga equipos de administración de TI separados para cada uno; solo necesita nuevas subunidades organizativas si necesita personalizar los permisos o políticas de la OU. Para las políticas, en estos días generalmente recomiendo usar grupos AD para objetos de usuario/computadora a los que desea dirigirse o consultas WMI de computadora para limitar el alcance de las políticas granulares).
Ah, y asegúrese de no dejar cuentas de usuario o de computadora en los contenedores predeterminados de Usuarios o Computadoras. Lo único que debería estar en Usuarios son las cuentas y grupos predeterminados que se crean en el dominio (y algunos de ellos deben moverse por motivos de seguridad a su debido tiempo; cualquier cuenta creada posteriormente debe ir a una unidad organizativa adecuada.
Y realizar alguna formación sobre gestión de políticas de grupo.