Як заблокувати спадщину / застосування одного ГПО?

Через завантаженість, отриману в результаті останніх спалахів вимушеного програмного забезпечення (Cryptolocker / Cryptowall / тощо), мені нещодавно було призначено впровадити політику обмеження програмного забезпечення для блокування виконання програми з тимчасових каталогів. Це, як правило, працює досить добре, але у нас виникає проблема, коли нам потрібно встановити програмне забезпечення, оскільки ці політики обмеження програмного забезпечення перешкоджають інсталяторам отримувати доступ до тимчасових каталогів машини.

Наша ієрархія Active Directory в основному організована відповідно до наших фізичних сайтів, а наші об’єкти AD успадковують близько декількох десятків GPO кожен з кореня домену та їх конкретних OU-сайтів. Таким чином, я не маю можливості створити заблоковану політику OU з кореня домену (оскільки не успадкування налаштувань групової політики для певного сайту викликає великі проблеми з машинами, а віддалені користувачі недостатньо кваліфіковані, щоб їх вирішити. ) або переспрямування об'єктів групової політики ближче до дочірніх ОУ (оскільки це передбачало б кілька сотень операцій із відмінюванням та перезахистом, що я не бажаю робити), або створення дочірньої ОУ у кожного із спадщиною заблокованою (тому що я кілька сотень операцій пов'язування, які потрібно зробити в цьому випадку).

З цього приводу мені потрібен спосіб тимчасово зупинити застосування політики обмеження програмного забезпечення для застосування, щоб ми час від часу могли встановлювати програмне забезпечення. Я спробував вирішити це спочатку, створивши дочірнє OU на кожному сайті та пов’язавши зворотну політику обмеження програмного забезпечення, думаючи, що більший пріоритет зворотної політики переможе спадкоємний, але це не спрацювало зовсім - показав RSOP що комп’ютери отримують безкоштовні правила disallowі unrestrictedправила, і disallowправила перемагають у цьому сценарії.

Отже, маючи на увазі це (не вдається відновити всі наші GPO, не можна створити просту спадку, заблоковану OU, а GPO з більш високим пріоритетом, здається, не вирішує мою проблему), що я можу зробити [тимчасово] блокувати застосування успадкованих об'єктів обмеження програмного забезпечення? Припустимо, що клієнти Windows 7 на домені / лісі Server 2008 R2 FL.

Додайте вказані машини до групи безпеки Active Directory та додайте групу до групової групи із позначкою "Заборонити" для "Політики застосування" (Не випадайте робити повне заперечення, оскільки це зупинить перерахування імені GPO, ускладнюючи усунення несправностей ). Потім додайте машини до цієї групи за потребою.

Просто скористайтеся налаштуванням "Застосувати до всіх користувачів, крім місцевих адміністраторів" у програмі Забезпечення політики обмеження програмного забезпечення ... Ви не дозволяєте всім своїм користувачам працювати адміністратором ... чи не ???

В якості альтернативи, можливо, ви можете визначити політику обмеження програмного забезпечення у розділі «Конфігурація користувача» в GPO, а потім використовувати «Фільтрування безпеки», щоб дозволити цьому GPO застосовуватись лише до певної групи користувачів.