我遇到了使 GPO 不適用於某個 OU 的問題。
我有一個在網域層級使用密碼的 Bitlocker GPO。 (因此適用於每個 ou),但我希望它排除屬於安全 OU 的電腦和使用者。因為我想在這些電腦上使用帶有密鑰的 USB。
我已經嘗試過這個解決方案https://www.faqforge.com/windows-server-2016/exclude-user-computer-group-policy-object/您可以在其中將電腦和使用者新增至群組並拒絕套用至該群組的網域層級 GPO。
但當我嘗試對 OU 中的計算機進行位元鎖定時,出現錯誤。它說我的 Bitlocker GPO 有衝突。
怎麼辦?
答案1
雖然已經說過了,但我將把它貼在這裡,這樣它就不會隱藏在評論中。主要是因為,根據您所說的,您只是繼續在域根應用新策略,甚至沒有先在子 OU 上進行測試?
這是一個極其危險的想法,而且你很幸運你沒有鎖定你的 DC 或其他東西。
第一 - 刪除域根目錄下的 Bitlocker 策略。幾乎您應該擁有的唯一策略是基準安全策略,例如密碼長度、帳戶鎖定以及所有基本內容。
其次,開始考慮你的政策範圍將如何決定。他們應該真的適用於網域中的每個對象,還是應該僅適用於電腦或使用者?或者已選擇使用者還是電腦?這將告知您將如何連結您的策略。
將所有電腦物件放入一個 OU(或頂級 OU,然後根據需要放入子 OU)。我強烈建議您為成員伺服器和成員工作站設定單獨的頂級 OU。根據需要在頂級工作站 OU 和/或伺服器 OU 套用 Bitlocker 策略。
如果您想從「安全性」電腦中排除該策略(諷刺的是),請為這些電腦建立另一個頂級 OU。
對於一般管理,請勿將使用者物件和電腦物件混合在同一頂級 OU 中。一旦網域變大,管理起來就會很痛苦,並且會使 LDAP 查詢效率非常低。將相同的物件類別(例如使用者、電腦)放入各個 OU 中,然後根據需要為這些物件建立子 OU。
不要陷入為每個部門建立子 OU 的傳統陷阱,除非您確實為每個部門擁有單獨的 IT 管理團隊 - 僅當您需要自訂 OU 權限或策略時才需要新的子 OU。對於策略,現在我通常建議對您想要定位的使用者/電腦物件使用 AD 群組,或使用電腦 WMI 查詢來限製粒度策略的範圍。
哦,請確保您沒有將使用者或電腦帳戶保留在預設的使用者或電腦容器中。使用者中唯一應該存在的是在網域中建立的預設帳戶和群組(出於安全目的,應在適當的時候將其中一些帳戶和群組移動 - 隨後建立的任何帳戶都應進入適當的 OU。
並做一些組策略管理的訓練。