मैं एक एकल GPO के उत्तराधिकार / आवेदन को कैसे अवरुद्ध कर सकता हूं?

हाल के रैंसमवेयर प्रकोपों ​​(क्रिप्टोलॉकर / क्रिप्टोवाल / आदि) द्वारा उत्पन्न कार्यभार के कारण, मुझे हाल ही में अस्थायी प्रतिबंधों से प्रोग्राम निष्पादन को ब्लॉक करने के लिए सॉफ़्टवेयर प्रतिबंध नीतियों को लागू करने का काम सौंपा गया था। यह आमतौर पर पर्याप्त रूप से अच्छी तरह से काम कर रहा है, लेकिन हमें एक समस्या है जब हमें सॉफ़्टवेयर स्थापित करने की आवश्यकता होती है, जिसमें ये सॉफ़्टवेयर प्रतिबंध नीतियां इंस्टॉलर को मशीन अस्थायी निर्देशिकाओं तक पहुंचने से रोकती हैं।

हमारी सक्रिय निर्देशिका पदानुक्रम मूल रूप से हमारी भौतिक साइटों की तर्ज पर आयोजित की जाती है, और हमारी AD ऑब्जेक्ट्स को डोमेन रूट और उनकी विशिष्ट साइट OUs से प्रत्येक के बारे में एक दर्जन GPOs विरासत में मिलते हैं। इस तरह, मेरे पास डोमेन रूट से अवरुद्ध नीति OU बनाने का विकल्प नहीं है (जैसा कि साइट-विशिष्ट समूह नीति सेटिंग्स को इनहेरिट नहीं करना मशीनों के साथ बड़ी समस्याएँ पैदा करता है, और दूरस्थ उपयोगकर्ता उन्हें हल करने के लिए पर्याप्त कुशल नहीं हैं ), या बच्चे OUs के करीब समूह नीति ऑब्जेक्ट्स को relinking (के रूप में कि कई सौ delinking और relinking आपरेशन, जो मैं करने के लिए तैयार नहीं हूँ) शामिल है, या वंशानुक्रम अवरुद्ध के साथ प्रत्येक पर एक बच्चे OU बनाने (क्योंकि मैं होता है) उस मामले में करने के लिए कई सौगात के संचालन)।

उस ने कहा, मुझे सॉफ़्टवेयर प्रतिबंध नीति GPO को अस्थायी रूप से लागू करने से रोकने के लिए एक तरीके की आवश्यकता है, ताकि हम समय-समय पर सॉफ़्टवेयर स्थापित कर सकें। मैंने शुरू में प्रत्येक साइट पर एक बच्चा OU बनाकर इसे हल करने की कोशिश की, और एक उलटा सॉफ़्टवेयर प्रतिबंध नीति को लिंक करते हुए, यह सोचकर कि उलटा नीति की उच्च पूर्वता विरासत में मिली एक को ओवरराइड करेगी, लेकिन यह बिल्कुल भी काम नहीं किया - एक RSOP दिखाया उस कंप्यूटर को मानार्थ disallowऔर unrestrictedनियम मिल रहे थे , और disallowनियम उस परिदृश्य में जीतते थे।

तो, यह सब ध्यान में रखते हुए (हमारे सभी जीपीओ को राहत नहीं दे सकता है, एक साधारण वंशानुगत अवरुद्ध OU नहीं बना सकता है, और उच्च वरीयता वाले एक GPO मेरी समस्या को हल करने के लिए प्रतीत नहीं होता है), मैं [अस्थायी रूप से] क्या कर सकता हूं विरासत में मिले सॉफ्टवेयर प्रतिबंध GPO के अनुप्रयोग को रोकें? किसी सर्वर 2008 R2 FL डोमेन / फ़ॉरेस्ट पर Windows 7 क्लाइंट मान लें।

एक सक्रिय निर्देशिका सुरक्षा समूह में निर्दिष्ट मशीनों को जोड़ें और "लागू नीति" के लिए "अस्वीकार" के साथ समूह को GPO में जोड़ें (पूर्ण इनकार करने के लिए मत गिरो ​​क्योंकि यह GPO नाम को एन्युमरेट करने से रोक देगा, जिससे समस्या निवारण मुश्किल हो जाएगा )। फिर, आवश्यकतानुसार मशीन को उस समूह में जोड़ें।

सॉफ़्टवेयर प्रतिबंध नीतियों को लागू करने में "स्थानीय व्यवस्थापकों को छोड़कर सभी उपयोगकर्ताओं को लागू करें" का उपयोग करें ... आप अपने सभी उपयोगकर्ताओं को प्रशासक के रूप में नहीं चलने देंगे ... क्या आप ???

एक विकल्प के रूप में, शायद आप GPO के उपयोगकर्ता कॉन्फ़िगरेशन भाग में सॉफ़्टवेयर प्रतिबंध नीतियों को परिभाषित कर सकते हैं, फिर सुरक्षा फ़िल्टरिंग का उपयोग करके यह अनुमति दें कि GPO केवल उपयोगकर्ताओं के किसी विशेष सुरक्षा समूह पर लागू हो।