Bagaimana cara memblokir warisan / aplikasi GPO tunggal?

Karena beban kerja yang dihasilkan oleh wabah ransomware baru-baru ini (Cryptolocker / Cryptowall / dll.), Saya baru-baru ini ditugaskan menerapkan kebijakan Pembatasan Perangkat Lunak untuk memblokir eksekusi program dari direktori sementara. Ini umumnya bekerja dengan cukup baik, tetapi kami memiliki masalah ketika kami perlu menginstal perangkat lunak, karena kebijakan Pembatasan Perangkat Lunak ini mencegah installer mengakses direktori sementara mesin.

Hirarki Direktori Aktif kami pada dasarnya diatur di sepanjang garis situs fisik kami, dan objek AD kami mewarisi sekitar beberapa lusin GPO masing-masing dari akar domain dan OU situs spesifik mereka. Karena itu, saya tidak memiliki opsi untuk membuat kebijakan diblokir OU dari root domain (karena tidak mewarisi pengaturan Kebijakan Grup spesifik-situs menyebabkan masalah besar dengan mesin, dan pengguna jarak jauh tidak cukup terampil untuk menyelesaikannya. ), atau menautkan Objek Kebijakan Grup lebih dekat ke OU anak (karena itu akan melibatkan beberapa ratus operasi penghilangan dan penautan kembali, yang tidak saya inginkan), atau membuat OU anak di masing-masing dengan warisan diblokir (karena saya akan memiliki beberapa ratus menghubungkan operasi yang harus dilakukan dalam kasus itu).

Yang mengatakan, saya perlu cara untuk sementara menghentikan kebijakan Pembatasan Perangkat Lunak GPO dari penerapan, sehingga kami dapat menginstal perangkat lunak dari waktu ke waktu. Saya mencoba menyelesaikan ini pada awalnya dengan membuat OU anak di setiap situs, dan menautkan kebijakan Pembatasan Perangkat Lunak terbalik, berpikir bahwa prioritas yang lebih tinggi dari kebijakan terbalik akan menggantikan yang diwariskan, tetapi itu tidak berhasil sama sekali - sebuah RSOP menunjukkan bahwa komputer mendapatkan pelengkap disallowdan unrestrictedaturan, dan disallowaturan menang dalam skenario itu.

Jadi, dengan semua itu dalam pikiran (tidak dapat menautkan kembali semua GPO kami, tidak dapat membuat warisan sederhana yang diblokir OU, dan GPO dengan prioritas lebih tinggi tampaknya tidak menyelesaikan masalah saya), apa yang dapat saya lakukan untuk [sementara] memblokir aplikasi GPO Pembatasan Perangkat Lunak yang diwarisi? Asumsikan klien Windows 7 pada domain / hutan Server 2008 R2 FL.

Tambahkan mesin yang ditentukan ke Grup Keamanan Direktori Aktif dan tambahkan Grup ke GPO dengan "Tolak" untuk "Terapkan Kebijakan" (Jangan jatuh karena melakukan penolakan penuh karena akan menghentikan nama GPO dari penghitungan, membuat pemecahan masalah menjadi sulit ). Kemudian, tambahkan mesin ke Grup itu sesuai kebutuhan.

Cukup gunakan pengaturan "Terapkan ke Semua pengguna kecuali administrator lokal" di Penegakan Kebijakan Pembatasan Perangkat Lunak ... Anda tidak membiarkan semua pengguna Anda menjalankan sebagai Administrator ... kan ???

Sebagai alternatif, mungkin Anda bisa menetapkan Kebijakan Pembatasan Perangkat Lunak di bagian Konfigurasi Pengguna GPO, kemudian menggunakan Pemfilteran Keamanan untuk memungkinkan GPO hanya berlaku untuk sekelompok pengguna keamanan tertentu.