Как заблокировать наследование / применение одного объекта групповой политики?
Из-за рабочей нагрузки, вызванной недавними вспышками программ-вымогателей (Cryptolocker / Cryptowall и т. Д.), Мне недавно было поручено реализовать политики ограниченного использования программ, чтобы заблокировать выполнение программ из временных каталогов. Обычно это работает достаточно хорошо, но у нас возникает проблема, когда нам нужно установить программное обеспечение, поскольку эти политики ограниченного использования программ не позволяют установщикам получать доступ к временным каталогам компьютера.
Наша иерархия Active Directory в основном организована по линиям наших физических сайтов, и наши объекты AD наследуют около пары десятков объектов групповой политики каждый из корня домена и их конкретных подразделений сайта. Таким образом, у меня нет возможности создать блокированное подразделение политики вне корня домена (поскольку не наследование параметров групповой политики для конкретного сайта вызывает большие проблемы с машинами, а удаленные пользователи не обладают достаточными навыками для их решения. ), или повторное связывание объектов групповой политики ближе к дочерним подразделениям (так как это потребует нескольких сотен операций по отключению и повторному связыванию, что я не хочу делать), или создание дочернего подразделения в каждом с заблокированным наследованием (потому что я бы несколько сотен операций связывания, которые нужно выполнить в этом случае).
Тем не менее, мне нужен способ временно остановить применение GPO политики ограниченного использования программ, чтобы мы могли время от времени устанавливать программное обеспечение. Сначала я попытался решить эту проблему, создав дочернее подразделение на каждом сайте и связав обратную политику ограничения программного обеспечения, думая, что более высокий приоритет обратной политики переопределит унаследованную, но это вообще не сработало - RSOP показал что компьютеры получали бесплатно disallow и unrestricted правила и disallow в этом сценарии побеждают правила.
Итак, имея в виду все это (невозможно повторно связать все наши объекты групповой политики, невозможно создать простое подразделение, заблокированное наследованием, и объект групповой политики с более высоким приоритетом, похоже, не решает мою проблему), что я могу сделать, чтобы [временно] заблокировать приложение унаследованных объектов групповой политики ограниченного использования программ? Предположим, что клиенты Windows 7 находятся в домене / лесу Server 2008 R2 FL.
Добавьте указанные машины в группу безопасности Active Directory и добавьте группу в объект групповой политики с помощью параметра «Запретить» для параметра «Применить политику» (не поддавайтесь на полное отрицание, так как это остановит перечисление имени объекта групповой политики, что затруднит устранение неполадок. ). Затем при необходимости добавьте машины в эту группу.
Просто используйте параметр «Применить ко всем пользователям, кроме локальных администраторов» в разделе «Применение политик ограниченного использования программ» ... вы не пусть все ваши пользователи работают как администраторы ... вы???
В качестве альтернативы, возможно, вы могли бы определить политики ограниченного использования программ в части конфигурации пользователя объекта групповой политики, а затем использовать фильтрацию безопасности, чтобы разрешить применение этого объекта групповой политики только к определенной группе пользователей.