我在使 GPO 不适用于某个 OU 方面遇到了问题。
我有一个在域级别使用密码的 bitlocker GPO。(因此适用于每个 OU)但我希望它排除属于安全 OU 的计算机和用户。因为我想在这些计算机上使用带密钥的 USB。
我已经尝试过这个解决方案https://www.faqforge.com/windows-server-2016/exclude-user-computer-group-policy-object/将计算机和用户添加到一个组并拒绝将域级别的 gpo 应用于该组。
但是当我尝试对 OU 中的计算机进行 Bitlock 时,出现错误。它说我有冲突的 Bitlocker GPO。
该怎么办?
答案1
虽然已经说过了,但我还是要把它贴在这里,这样它就不会被隐藏在评论中。主要是因为,从你所说的来看,你只是在域根上应用了你的新策略,甚至没有先在子 OU 上进行测试?
这是一个非常危险的想法,很幸运你没有锁定你的 DC 或类似的东西。
第一点——在域根目录下删除你的 bitlocker 策略。你在那里应该拥有的唯一策略就是你的基本安全策略,比如密码长度、帐户锁定,所有这些基本的东西。
其次,开始思考你的政策将如何界定。他们应该真的应用于域中的每个对象,还是只应用于计算机或用户?或者已选择用户还是计算机?这将告知您如何链接您的策略。
将所有计算机对象放入一个 OU(或顶级 OU,然后根据需要放入子 OU)。我强烈建议您为成员服务器和成员工作站设置单独的顶级 OU。根据需要在顶级工作站 OU 和/或服务器 OU 上应用您的 bitlocker 策略。
如果您想将该策略从您的“安全”计算机中排除(如此讽刺),那么请为这些计算机创建另一个顶级 OU。
对于一般管理,不要将用户对象和计算机对象混合在同一个顶级 OU 中。一旦域变大,管理起来会很麻烦,并且会使 LDAP 查询效率非常低。将相同的对象类(例如用户、计算机)放入单个 OU,然后根据需要为这些对象创建子 OU。
不要陷入为每个部门创建子 OU 的传统陷阱,除非您实际上为每个部门都配备了单独的 IT 管理团队 - 只有在需要自定义 OU 权限或策略时才需要新的子 OU。对于策略,如今我通常建议对您想要定位的用户/计算机对象使用 AD 组或计算机 WMI 查询来限制细粒度策略的范围。
哦,还要确保你没有将用户或计算机帐户留在默认的用户或计算机容器中。用户中唯一应该包含的是域中创建的默认帐户和组(其中一些应该在适当的时候出于安全目的而移动 - 随后创建的任何帐户都应进入适当的 OU)。
并针对组策略管理做一些培训。