Jak zablokować dziedziczenie / zastosowanie pojedynczego obiektu zasad grupy?

Ze względu na obciążenie generowane przez ostatnie epidemie oprogramowania ransomware (Cryptolocker / Cryptowall / itp.) Ostatnio miałem zadanie wdrożenia zasad ograniczeń oprogramowania w celu zablokowania wykonywania programu z katalogów tymczasowych. Zasadniczo działa to wystarczająco dobrze, ale mamy problem, gdy musimy zainstalować oprogramowanie, ponieważ te zasady ograniczeń oprogramowania uniemożliwiają instalatorom dostęp do katalogów tymczasowych komputera.

Nasza hierarchia usługi Active Directory jest zasadniczo zorganizowana zgodnie z naszymi fizycznymi witrynami, a nasze obiekty AD dziedziczą około kilkudziesięciu obiektów zasad grupy każdy z katalogu głównego domeny i jednostek organizacyjnych poszczególnych witryn. W związku z tym nie mam możliwości utworzenia zablokowanej jednostki organizacyjnej zasad poza katalogiem głównym domeny (ponieważ nie dziedziczenie specyficznych dla witryny ustawień zasad grupy powoduje duże problemy z komputerami, a zdalni użytkownicy nie są wystarczająco wykwalifikowani, aby je rozwiązać ) lub ponowne łączenie obiektów zasad grupy bliżej podrzędnych jednostek organizacyjnych (ponieważ wymagałoby to kilkuset operacji usuwania i ponownego łączenia, których nie jestem skłonny wykonać), lub tworzenie podrzędnej jednostki organizacyjnej dla każdego z zablokowanym dziedziczeniem (ponieważ miałbym kilkaset operacji łączenia w tym przypadku).

To powiedziawszy, potrzebuję sposobu, aby tymczasowo zatrzymać stosowanie GPO zasad ograniczeń oprogramowania, abyśmy mogli od czasu do czasu instalować oprogramowanie. Na początku próbowałem rozwiązać ten problem, tworząc podrzędną jednostkę organizacyjną w każdej witrynie i łącząc odwrotną zasadę ograniczeń oprogramowania, myśląc, że wyższy priorytet zasady odwrotnej zastąpi odziedziczoną, ale to nie zadziałało - pokazał RSOP że komputery były komplementarne disallowi unrestrictedreguły, a disallowreguły wygrywają w tym scenariuszu.

Biorąc to wszystko pod uwagę (nie mogę ponownie połączyć wszystkich naszych obiektów zasad grupy, nie mogę utworzyć prostej jednostki organizacyjnej z zablokowanym dziedziczeniem, a obiekt zasad grupy o wyższym priorytecie nie wydaje się rozwiązać mojego problemu), co mogę zrobić, aby [tymczasowo] zablokować stosowanie odziedziczonych obiektów zasad grupy ograniczeń oprogramowania? Załóżmy klientów Windows 7 w domenie / lesie FL 2008 Server 2008 R2.

Dodaj określone komputery do grupy zabezpieczeń usługi Active Directory i dodaj grupę do obiektu zasad grupy za pomocą „Odmów” dla „Zastosuj zasady” (nie daj się nabrać na całkowite odrzucenie, ponieważ zatrzyma to wyliczanie nazwy obiektu zasad grupy, co utrudni rozwiązywanie problemów ). Następnie dodaj komputery do tej grupy zgodnie z wymaganiami.

Po prostu użyj ustawienia „Zastosuj do wszystkich użytkowników z wyjątkiem lokalnych administratorów” w Egzekwowaniu zasad ograniczeń oprogramowania ... nie pozwalasz wszystkim użytkownikom działać jako Administrator… prawda?

Alternatywnie, być może możesz zdefiniować zasady ograniczeń oprogramowania w części GPO dotyczącej konfiguracji użytkownika, a następnie użyć filtrowania zabezpieczeń, aby zezwolić, aby ten GPO miał zastosowanie tylko do określonej grupy zabezpieczeń użytkowników.