Tek bir GPO'nun kalıtımını / uygulamasını nasıl engelleyebilirim?

Son zamanlarda fidye yazılımı salgınları (Cryptolocker / Cryptowall / vb.) Tarafından üretilen iş yükü nedeniyle, kısa süre önce programın geçici dizinlerden yürütülmesini engellemek için Yazılım Kısıtlama ilkeleri uygulamakla görevlendirildim. Bu genellikle yeterince iyi çalışır, ancak yazılımı yüklememiz gerektiğinde bir sorunumuz vardır, çünkü bu Yazılım Kısıtlama ilkeleri, yükleyicilerin makinenin geçici dizinlerine erişmesini önler.

Active Directory hiyerarşimiz temel olarak fiziksel sitelerimizin çizgileri boyunca düzenlenir ve AD nesnelerimiz her biri alan kökünden ve belirli site OU'larından birkaç düzine GPO'yu devralır. Bu nedenle, etki alanı kökünden engellenen bir politika OU oluşturma seçeneğim yok (siteye özgü Grup İlkesi ayarlarını devralmamak, makinelerde büyük sorunlara neden oluyor ve uzak kullanıcılar bunları çözmek için yeterince yetenekli değil ) veya alt OU'lara daha yakın olan Grup İlkesi Nesnelerini yeniden bağlama (bu, yapmak istemediğim birkaç yüz kaldırma ve yeniden bağlama işlemini içerecektir) veya her biri için miras engellenmiş bir alt OU oluşturma ( bu durumda birkaç yüz bağlama işlemi).

Bununla birlikte, zaman zaman yazılım yükleyebilmemiz için Yazılım Kısıtlama ilkesi GPO'nun geçici olarak durdurulmasının bir yoluna ihtiyacım var. Bunu başlangıçta her sitede bir alt kuruluş birimi oluşturarak ve ters bir Yazılım Kısıtlama politikasını bağlayarak, ters politikanın daha yüksek önceliğinin miras alınan politikayı geçersiz kılacağını düşünerek çözmeye çalıştım, ancak bu hiç işe yaramadı - bir RSOP gösterdi bilgisayarların tamamlandığını disallowve unrestrictedkurallar aldığını ve kuralların disallowbu senaryoda kazandığını söyledi.

Yani, tüm bunları göz önünde bulundurarak (tüm GPO'larımızı yeniden bağlayamıyorum, basit bir miras engellenmiş OU oluşturamıyor ve daha yüksek önceliğe sahip bir GPO sorunumu çözmüyor gibi görünüyor), [geçici olarak] ne yapabilirim devralınan Yazılım Kısıtlama GPO'larının uygulaması engellenir mi? Server 2008 R2 FL etki alanında / ormanında Windows 7 istemcilerini varsayalım.

Belirtilen makineleri bir Active Directory Güvenlik Grubuna ekleyin ve "İlkeyi Uygula" için "Reddet" ile Grubu GPO'ya ekleyin (GPO adının numaralandırılmasını durduracağından, sorun gidermeyi zorlaştıracağından tam bir reddetme yapmak için düşmeyin ). Ardından makineleri gerektiği gibi bu Gruba ekleyin.

Basitçe Yaptırım ... Eğer yazılım kısıtlama ilkeleri ayarı "Yerel yöneticiler dışında tüm kullanıcılara uygula" kullanmak yok ... let tüm kullanıcılar Yönetici olarak çalıştırmak öyle mi ???

Alternatif olarak, GPO'nun Kullanıcı Yapılandırması bölümünde Yazılım Kısıtlama İlkeleri'ni tanımlayabilir ve ardından GPO'nun yalnızca belirli bir güvenlik grubuna uygulanmasına izin vermek için Güvenlik Filtresi'ni kullanabilirsiniz.