各位先進大佬們好
小弟最近被指派要把公司的AD架構整個重建
舊有AD架設的時候是以前的主管買設備的時候請廠商免費幫忙弄的，所以現在也沒辦法請廠商支援
當時跟著架設的老員工也都不再了，只能從頭開始摸

公司規模大約有2500~2800台電腦，使用者登入上沒有細分到個人使用者的登入，是以單位進行登入 (例如說總務室的人全都是登總務室，工務組的人全都登工務組等等)

目前新的AD已經架設起來了(windows srever 2016)，在建立使用者的時候碰到一些設定不是很確定要怎麼處理
因為資安法的關係，一些單位必須要控制登入錯誤幾次就鎖定帳號 (比如說總務室：密碼錯誤三次就鎖定10分鐘之類)
有在 "Active Directory 使用者和電腦" 的 USER 裡面設定了一個 "總務室-ADMIN" 的群組跟 "總務室" 的使用者，在總務室-ADMIN群組的成員選項有將總務室的使用者加入，隸屬於administrators，群組領域為全域，群組類型為安全性
在 "樹系群組管理原則" 中的網域欄位底下建立一個 "總務室" 的組織單位，並且設定了一個專屬給總務室的policy、啟用GPO連結、在委派的選項中將總務室-ADMIN的群組加入，並且設定為這個容器及所有仔容器

但是測試起來，電腦加進新網域之後，可以正確登入總務室的使用者，輸入密碼錯誤之後卻不會被鎖定(密碼錯誤的鎖定設置在總務室的group policy裡面，"電腦設定>原則>Windows設定>安全性設定>帳戶原則>帳戶鎖定原則" 裡面設定為帳戶鎖定閥值 3次、帳戶鎖定時間 10分鐘)
設定完之後有在AD上使用 gpupdate /force 進行強制刷新，但是沒有成功

目前電腦還沒有進行嚴格控管 (比如說使用者可以在工務組登入總務室的帳戶，但是會是全新的WINDOWS預設環境，電腦的本機管理權限群組也不會有總務室)

想詢問我應該如何設置才能夠依照各個不同的單位進行帳戶鎖定管理？
之前開會上面的大人物想試試看有沒有可能改成登入者改成員工本人而非單位，然後他在其他電腦也都能登入，而且要能夠在其他電腦登入後都變成他喜歡的電腦環境 (例如常用捷徑、桌布等個人化設定)，電腦登出後要將這些資料刪除，要讓這些資料都存在於機房內，這個要求是否能夠做到？
之後還會需要根據各種不同的登入環境進行程式的派送安裝 (現行的方法是開機後會執行SERVER上寫好的BAT檔，但是經常發現使用者開機登入後BAT檔不會跑，需要登出再登入才會正常執行，是否有其他方式可以改善?

追加補充
我們公司人員主要分成兩種，
一種人會是在辦公室的固定座位，電腦也是個人電腦，所以不會有會需要用到其他電腦的問題
另一種是沒有辦公室，會到處跑得不固定人員，他們會使用其他單位的公區公用電腦，主要也不會有個人資料，大多都是查找文獻跟寫報告然後上傳到SERVER裡面