windows – 如何阻止单个GPO的继承/应用?

前端之家收集整理的这篇文章主要介绍了windows – 如何阻止单个GPO的继承/应用?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
由于最近的勒索软件爆发(Cryptolocker / Cryptowall /等)产生的工作负载,我最近的任务是实施软件限制策略以阻止程序从临时目录执行.这通常运行良好,但我们在需要安装软件时遇到问题,因为这些软件限制策略阻止安装程序访问计算机临时目录.

我们的Active Directory层次结构基本上按照物理站点的方式进行组织,我们的AD对象从域根目录及其特定站点OU继承了大量的GPO.因此,我没有选择从域根目录创建阻止的策略OU(因为没有继承特定于站点的组策略设置会导致计算机出现大问题,并且远程用户不够熟练地解决它们),或者将组策略对象重新链接到子OU(因为这将涉及数百次脱钩和重新链接操作,我不愿意这样做),或者在每个子目录中创建一个继承被阻止的子OU(因为我有在这种情况下要做几百个链接操作).

也就是说,我确实需要一种暂时停止软件限制策略GPO的方法,以便我们可以不时安装软件.我最初尝试通过在每个站点创建子OU来解决这个问题,并链接反向软件限制策略,认为反向策略的更高优先级将覆盖继承的策略,但这根本不起作用 – 一个RSOP显示计算机正在获得免费的禁止和不受限制的规则,并且在那种情况下禁止规则获胜.

因此,考虑到所有这些(无法重新链接我们所有的GPO,无法创建简单的继承阻止OU,并且具有更高优先级的GPO似乎无法解决我的问题),我该怎么做才能[暂时]阻止继承的软件限制GPO的应用?假设Server 2008 R2 FL域/林上的Windows 7客户端.

将指定的计算机添加到Active Directory安全组,并将组添加到GPO,并为“应用策略”添加“拒绝”(不要因完全拒绝而拒绝,因为它会阻止GPO名称枚举,使故障排除变得困难).然后,根据需要将计算机添加到该组.

猜你在找的Windows相关文章