Wie blockiere ich die Vererbung / Anwendung eines einzelnen Gruppenrichtlinienobjekts?

Aufgrund der Arbeitslast, die durch die jüngsten Ransomware-Ausbrüche (Cryptolocker / Cryptowall / etc.) Verursacht wurde, wurde ich kürzlich mit der Implementierung von Richtlinien für Softwareeinschränkungen beauftragt, um die Programmausführung aus temporären Verzeichnissen zu blockieren. Dies funktioniert im Allgemeinen gut genug, aber wir haben ein Problem, wenn wir Software installieren müssen, da diese Richtlinien zur Softwareeinschränkung verhindern, dass Installateure auf die temporären Verzeichnisse des Computers zugreifen.

Unsere Active Directory-Hierarchie ist im Wesentlichen nach dem Vorbild unserer physischen Standorte organisiert, und unsere AD-Objekte erben jeweils etwa ein paar Dutzend Gruppenrichtlinienobjekte vom Domänenstamm und ihren spezifischen Standort-Organisationseinheiten. Daher habe ich nicht die Möglichkeit, eine blockierte Richtlinien-Organisationseinheit außerhalb des Domänenstamms zu erstellen (da das Nicht-Erben der standortspezifischen Gruppenrichtlinieneinstellungen große Probleme mit den Computern verursacht und die Remotebenutzer nicht in der Lage sind, diese zu beheben ) oder erneutes Verknüpfen von Gruppenrichtlinienobjekten, die näher an den untergeordneten Organisationseinheiten liegen (da dies mehrere hundert Verknüpfungs- und erneute Verknüpfungsvorgänge umfassen würde, zu denen ich nicht bereit bin), oder Erstellen einer untergeordneten Organisationseinheit mit jeweils blockierter Vererbung (weil ich dies getan hätte) in diesem Fall mehrere hundert Verknüpfungsvorgänge).

Ich brauche jedoch eine Möglichkeit, die Anwendung des Gruppenrichtlinienobjekts für Softwareeinschränkungsrichtlinien vorübergehend zu stoppen, damit wir von Zeit zu Zeit Software installieren können. Ich habe versucht, dies zunächst zu lösen, indem ich an jedem Standort eine untergeordnete Organisationseinheit erstellt und eine inverse Softwareeinschränkungsrichtlinie verknüpft habe. Ich dachte, dass die höhere Priorität der inversen Richtlinie die geerbte überschreiben würde, aber das hat überhaupt nicht funktioniert - ein RSOP hat dies gezeigt dass Computer komplementär wurden disallowund unrestrictedRegeln, und die disallowRegeln gewinnen in diesem Szenario.

Was kann ich vor diesem Hintergrund tun (kann nicht alle unsere Gruppenrichtlinienobjekte erneut verknüpfen, keine einfache vererbungsblockierte Organisationseinheit erstellen und ein Gruppenrichtlinienobjekt mit höherer Priorität scheint mein Problem nicht zu lösen), was kann ich [vorübergehend] tun? die Anwendung geerbter Software Restriction GPOs blockieren? Angenommen, Windows 7-Clients in einer Server 2008 R2 FL-Domäne / Gesamtstruktur.

Fügen Sie die angegebenen Computer zu einer Active Directory-Sicherheitsgruppe hinzu und fügen Sie die Gruppe dem Gruppenrichtlinienobjekt mit einem "Verweigern" für "Richtlinie anwenden" hinzu ). Fügen Sie dann die Maschinen nach Bedarf zu dieser Gruppe hinzu.

Verwenden Sie einfach die „gelten für alle Benutzer außer den lokalen Administratoren“ Enforcement in den Richtlinien für Softwareeinschränkung einstellen ... Sie nicht lassen alle Benutzer als Administrator ausführen ... tun Sie ???

Alternativ können Sie möglicherweise die Richtlinien für Softwareeinschränkungen im Abschnitt Benutzerkonfiguration des Gruppenrichtlinienobjekts definieren und dann die Sicherheitsfilterung verwenden, damit dieses Gruppenrichtlinienobjekt nur für eine bestimmte Sicherheitsgruppe von Benutzern gilt.