Estou tendo problemas para fazer com que um GPO não se aplique a uma determinada UO.
Eu tenho um GPO bitlocker que usa senha no nível do domínio. (isso se aplica a todas as UOs), mas quero excluir o computador e os usuários que fazem parte da UO de segurança. Porque quero usar USB com chave nesses computadores.
Eu tentei esta soluçãohttps://www.faqforge.com/windows-server-2016/exclude-user-computer-group-policy-object/onde você adiciona os computadores e usuários a um grupo e nega o gpo de nível de domínio que se aplica ao grupo.
Mas recebo um erro ao tentar bloquear um computador na UO. Diz que tenho GPOs de bitlocker conflitantes.
O que fazer?
Responder1
Embora já tenha sido dito, vou colar isso aqui para não ficar escondido nos comentários. Principalmente porque, pelo que você disse, você simplesmente aplicou sua nova política na raiz do domínio sem sequer testá-la primeiro em uma sub-UO?
Essa é uma ideia incrivelmente arriscada e você tem sorte de não ter bloqueado seus CDs ou algo assim.
Número um – livre-se da sua política de bitlocker na raiz do domínio. Praticamente as únicas políticas que você deve ter são as políticas básicas de segurança, como tamanho da senha, bloqueio de conta e todas essas coisas fundamentais.
Em segundo lugar, comece a pensar sobre como será o escopo das suas políticas. Eles deveriamrealmenteaplicam-se a todos os objetos do domínio ou devem ser aplicados apenas a computadores ou usuários? Ouselecionadousuários ou computadores? Isso informa como você vinculará suas políticas.
Coloque todos os objetos do seu computador em uma UO (ou uma UO de nível superior e, em seguida, sub-OUs, conforme necessário). Eu recomendo fortemente que você tenha UOs de nível superior separadas para servidores membros e estações de trabalho membros. Aplique sua política de bitlocker na UO de estações de trabalho de nível superior e/ou na UO de servidores, conforme necessário.
Se você deseja excluir a política de seus computadores de "segurança" (que ironia), crie outra UO de nível superior para eles.
Para gerenciamento geral, não misture objetos de usuário e objetos de computador nas mesmas UOs de nível superior. É difícil de gerenciar e torna as consultas LDAP muito ineficientes quando o domínio fica maior. Coloque as mesmas classes de objetos (por exemplo, Usuários, Computadores) em unidades organizacionais individuais e, em seguida, crie subunidades organizacionais para esses objetos, se necessário.
Não caia na armadilha herdada de criar subunidades organizacionais para cada departamento, a menos que você literalmente tenha equipes de gerenciamento de TI separadas para cada um - você só precisará de novas subunidades organizacionais se precisar personalizar permissões ou políticas de unidade organizacional. Para políticas, atualmente eu geralmente recomendo usar grupos AD para objetos de usuário/computador que você deseja direcionar ou consultas WMI de computador para limitar o escopo de políticas granulares).
Ah, e certifique-se de não deixar contas de usuário ou computador nos contêineres padrão Usuários ou Computadores. A única coisa que deve estar em Usuários são as contas e grupos padrão criados no domínio (e alguns deles devem ser movidos por motivos de segurança no devido tempo - qualquer conta criada posteriormente deve entrar em uma UO apropriada.
E faça algum treinamento sobre gerenciamento de políticas de grupo.