由于最近的勒索软件爆发(Cryptolocker / Cryptowall /等)产生的工作负载,我最近的任务是实施软件限制策略以阻止程序从临时目录执行.这通常运行良好,但我们在需要安装软件时遇到问题,因为这些软件限制策略阻止安装程序访问计算机临时目录.
我们的Active Directory层次结构基本上按照物理站点的方式进行组织,我们的AD对象从域根目录及其特定站点OU继承了大量的GPO.因此,我没有选择从域根目录创建阻止的策略OU(因为没有继承特定于站点的组策略设置会导致计算机出现大问题,并且远程用户不够熟练地解决它们),或者将组策略对象重新链接到子OU(因为这将涉及数百次脱钩和重新链接操作,我不愿意这样做),或者在每个子目录中创建一个继承被阻止的子OU(因为我有在这种情况下要做几百个链接操作).
也就是说,我确实需要一种暂时停止软件限制策略GPO的方法,以便我们可以不时安装软件.我最初尝试通过在每个站点创建子OU来解决这个问题,并链接反向软件限制策略,认为反向策略的更高优先级将覆盖继承的策略,但这根本不起作用 – 一个RSOP显示计算机正在获得免费的禁止和不受限制的规则,并且在那种情况下禁止规则获胜.
因此,考虑到所有这些(无法重新链接我们所有的GPO,无法创建简单的继承阻止OU,并且具有更高优先级的GPO似乎无法解决我的问题),我该怎么做才能[暂时]阻止继承的软件限制GPO的应用?假设Server 2008 R2 FL域/林上的Windows 7客户端.