如何使GPO不适用于某些OU

Question

我有问题，使GPO不适用于某个OU。

我有一个在域级别上使用密码的位储物柜GPO。(这适用于每个ou)，但我希望它排除计算机和安全OU中的用户。因为我想在那些电脑上用带钥匙的USB。

我已经尝试过此解决方案https://www.faqforge.com/windows-server-2016/exclude-user-computer-group-policy-object/，您可以将计算机和用户添加到组中，并拒绝将域级别的gpo应用到组中。

但是当我试图在OU中锁定一台计算机时，我遇到了一个错误。上面说我有矛盾的GPO。

该怎么办呢？

Answer 1

虽然已经有人说过了，但我还是把这个放在这里，这样它就不会隐藏在评论中了。主要是因为，从你所说的，你刚刚开始在域根上应用你的新策略，甚至没有先在子OU上测试它？

这是一个非常危险的想法，你很幸运你没有把你的DC或其他东西锁在外面。

第一-在域根目录下摆脱你的位存器策略。您应该拥有的唯一策略是基本的安全策略，例如密码长度、帐户锁定，所有这些基本内容。

其次，开始考虑如何界定您的政策范围。它们是否真的适用于域中的每一个对象，还是只应用于计算机或用户？或选定的用户或计算机？这说明了您将如何将您的策略联系起来。

将所有计算机对象放入一个OU (或顶级OU，然后根据需要进行分区)。我强烈建议您为成员服务器和成员工作站分别设置顶级you。根据需要在顶级工作站OU和/或服务器OU上应用位锁策略。

如果你想把这个策略排除在你的“安全”计算机之外(这样的讽刺)，那么为这些计算机创建另一个顶级的OU。

对于一般管理，不要将用户对象和计算机对象混合在同一个顶级OU中.这是一个痛苦的管理，并使LDAP查询效率非常低，一旦域变得更大。将相同的对象类(例如，用户、计算机)放入单独的OU中，然后根据需要为这些对象创建子对象。

不要陷入为每个部门创建子级的遗留陷阱，除非您确实为每个部门都有独立的IT管理团队--只有当您需要自定义OU权限或策略时，您才需要新的子分支。对于策略，现在我通常建议对您想要针对的用户/计算机对象或计算机WMI查询使用AD组来限制粒度策略的范围)。

请确保您不会将用户或计算机帐户留在默认的用户或计算机容器中。用户中唯一应该拥有的是在域中创建的默认帐户和组(其中一些帐户应该在适当的时候出于安全目的移动)--随后创建的任何帐户都应该进入适当的OU。

并进行组织策略管理方面的培训。