Làm cách nào để chặn kế thừa / ứng dụng của một GPO?

Do khối lượng công việc được tạo ra bởi các đợt bùng phát ransomware gần đây (Cryptolocker / Cryptowall / v.v.), gần đây tôi đã được giao nhiệm vụ thực hiện các chính sách Hạn chế phần mềm để chặn thực thi chương trình từ các thư mục tạm thời. Điều này thường hoạt động đủ tốt, nhưng chúng tôi gặp vấn đề khi cần cài đặt phần mềm, trong đó các chính sách Hạn chế Phần mềm này ngăn người cài đặt truy cập vào các thư mục tạm thời của máy.

Hệ thống phân cấp Active Directory của chúng tôi về cơ bản được tổ chức dọc theo các dòng của các trang web vật lý của chúng tôi và các đối tượng AD của chúng tôi thừa hưởng khoảng vài chục GPO mỗi từ gốc miền và các OU trang web cụ thể của chúng. Do đó, tôi không có tùy chọn tạo chính sách bị chặn OU khỏi gốc tên miền (vì không kế thừa cài đặt Chính sách nhóm dành riêng cho trang web gây ra sự cố lớn với máy và người dùng từ xa không đủ kỹ năng để giải quyết chúng ), hoặc xem xét lại các Đối tượng chính sách nhóm gần hơn với các OU con (vì điều đó sẽ liên quan đến hàng trăm hoạt động nhấp nháy và làm lại, mà tôi không sẵn sàng thực hiện) hoặc tạo một OU con ở mỗi bên bị chặn thừa kế (vì tôi có Hàng trăm hoạt động liên kết để làm trong trường hợp đó).

Điều đó nói rằng, tôi cần một cách để tạm thời dừng GPO chính sách hạn chế phần mềm để áp dụng, để chúng ta có thể cài đặt phần mềm theo thời gian. Tôi đã cố gắng giải quyết vấn đề này ban đầu bằng cách tạo OU con ở mỗi trang và liên kết chính sách Hạn chế phần mềm nghịch đảo, nghĩ rằng ưu tiên cao hơn của chính sách nghịch đảo sẽ ghi đè lên chính sách kế thừa, nhưng hoàn toàn không hoạt động - RSOP cho thấy rằng các máy tính đã nhận được miễn phí disallowvà unrestrictedcác quy tắc, và các disallowquy tắc giành chiến thắng trong kịch bản đó.

Vì vậy, với tất cả những gì trong tâm trí (không thể gửi lại tất cả các GPO của chúng tôi, không thể tạo ra một thừa kế đơn giản bị chặn OU và một GPO có quyền ưu tiên cao hơn dường như không giải quyết được vấn đề của tôi), tôi có thể làm gì để [tạm thời] chặn ứng dụng GPO hạn chế phần mềm kế thừa? Giả sử máy khách Windows 7 trên miền / rừng Server 2008 R2 FL.

Thêm các máy được chỉ định vào Nhóm bảo mật Active Directory và thêm Nhóm vào GPO bằng "Từ chối" cho "Chính sách áp dụng" (Đừng bỏ qua việc từ chối hoàn toàn vì nó sẽ ngăn tên GPO liệt kê, khiến việc khắc phục sự cố trở nên khó khăn ). Sau đó, thêm các máy vào Nhóm đó theo yêu cầu.

Chỉ cần sử dụng cài đặt "Áp dụng cho tất cả người dùng ngoại trừ quản trị viên cục bộ" trong Thực thi chính sách hạn chế phần mềm ... bạn không cho phép tất cả người dùng của mình chạy với tư cách Quản trị viên ... bạn có ???

Thay vào đó, có lẽ bạn có thể xác định Chính sách hạn chế phần mềm trong phần Cấu hình người dùng của GPO, sau đó sử dụng Bộ lọc bảo mật để cho phép GPO đó chỉ áp dụng cho một nhóm người dùng bảo mật cụ thể.