특정 OU에 GPO를 적용하지 않는 데 문제가 있습니다.
도메인 수준에서 비밀번호를 사용하는 비트로커 GPO가 있습니다. (모든 OU에 적용됨) 하지만 보안 OU에 속한 컴퓨터와 사용자는 제외하고 싶습니다. 그 컴퓨터의 키와 함께 USB를 사용하고 싶기 때문입니다.
나는 이 솔루션을 시도했습니다https://www.faqforge.com/windows-server-2016/exclude-user-computer-group-policy-object/여기서 컴퓨터와 사용자를 그룹에 추가하고 그룹에 적용되는 도메인 수준 gpo를 거부합니다.
하지만 OU에 있는 컴퓨터를 비트락하려고 하면 오류가 발생합니다. 충돌하는 비트로커 GPO가 있다고 합니다.
무엇을 해야 할까요?
답변1
이미 말했지만 댓글에 숨겨지지 않도록 여기에 붙일 예정입니다. 주로 말씀하신 내용에 따르면 하위 OU에서 먼저 테스트하지 않고 도메인 루트에 새 정책을 적용했기 때문입니까?
그것은 엄청나게 위험한 아이디어이며 DC 등을 잠그지 않은 것이 행운입니다.
첫 번째 - 도메인 루트에서 비트로커 정책을 제거하세요. 당신이 가지고 있어야 할 거의 유일한 정책은 비밀번호 길이, 계정 잠금, 모든 기본적인 것들과 같은 기본 보안 정책입니다.
둘째, 정책의 범위를 어떻게 정할지 생각해 보세요. 그들은해야합니까?정말도메인의 모든 단일 개체에 적용해야 합니까, 아니면 컴퓨터나 사용자에게만 적용해야 합니까? 또는선택된사용자 또는 컴퓨터? 이는 정책을 연결하는 방법을 알려줍니다.
모든 컴퓨터 개체를 하나의 OU(또는 최상위 OU, 필요에 따라 하위 OU)에 넣습니다. 구성원 서버와 구성원 워크스테이션에 대해 별도의 최상위 OU를 갖는 것이 좋습니다. 필요에 따라 최상위 워크스테이션 OU 및/또는 서버 OU에 bitlocker 정책을 적용합니다.
아이러니하게도 "보안" 컴퓨터에서 정책을 제외하려면 해당 컴퓨터에 대한 또 다른 최상위 OU를 만듭니다.
일반적인 관리의 경우 동일한 최상위 OU에 사용자 개체와 컴퓨터 개체를 혼합하지 마십시오. 도메인이 커지면 관리하기가 어렵고 LDAP 쿼리를 매우 비효율적으로 만듭니다. 동일한 개체 클래스(예: 사용자, 컴퓨터)를 개별 OU에 넣은 다음 필요한 경우 해당 개체에 대한 하위 OU를 만듭니다.
문자 그대로 각 부서에 대해 별도의 IT 관리 팀이 있지 않는 한 모든 부서에 대해 하위 OU를 생성하는 기존의 함정에 빠지지 마십시오. OU 권한이나 정책을 사용자 정의해야 하는 경우에만 새 하위 OU가 필요합니다. 정책의 경우 요즘에는 일반적으로 대상으로 삼으려는 사용자/컴퓨터 개체에 대한 AD 그룹을 사용하거나 세분화된 정책의 범위를 제한하기 위해 컴퓨터 WMI 쿼리를 사용하는 것이 좋습니다.
아, 기본 사용자 또는 컴퓨터 컨테이너에 사용자 또는 컴퓨터 계정이 남아 있지 않은지 확인하세요. 사용자에 있어야 하는 유일한 것은 도메인에 생성된 기본 계정과 그룹입니다(그리고 이들 중 일부는 적절한 시기에 보안 목적으로 이동되어야 합니다. 이후에 생성된 모든 계정은 적절한 OU로 이동해야 합니다.
그리고 그룹 정책 관리에 대한 교육을 받으십시오.