Как я блокирую наследование/приложение единственного GPO?
Из-за рабочей нагрузки, сгенерированной недавними вспышками программного обеспечения с вирусом-вымогателем (Cryptolocker/Cryptowall/etc)., для меня недавно определили задачу с проведением политики Ограничения программного обеспечения заблокировать выполнение программы из временных каталогов. Это обычно работает достаточно хорошо, но у нас есть проблема, когда мы должны установить программное обеспечение в этом, эти политики Ограничения программного обеспечения препятствуют тому, чтобы установщики получили доступ к машине временные каталоги.
Наша иерархия Active Directory в основном организована вроде наших физических сайтов, и наши AD объекты наследовали приблизительно пару дюжины GPOS каждый от доменного корня и их определенного сайта OUs. По сути, у меня нет опции ни одного создания заблокированной политики OU от доменного корня (поскольку не наследование сайт-специфичных настроек Group Policy вызывает большие проблемы с машинами, и удаленные пользователи не достаточно квалифицированы для разрешения их), или пересоединение Объектов Групповой политики ближе к дочернему OUs (поскольку это включило бы несколько сотен отделений и пересоединения операций, которые я не готов сделать), или создание дочернего OU в каждом с заблокированным наследованием (потому что я перенес бы несколько сотен операций соединения, чтобы сделать в этом случае).
Тем не менее мне действительно нужен способ временно остановить политику Ограничения программного обеспечения GPO от применения, так, чтобы мы могли время от времени устанавливать программное обеспечение. Я пытался решить это первоначально путем создания дочернего OU на каждом сайте, и соединения обратной политики Ограничения программного обеспечения, размышления, что более высокий приоритет обратной политики переопределит наследованную, но это не работало вообще - RSOP показал, что компьютеры становились дополнительными disallow и unrestricted правила, и disallow правила побеждают в том сценарии.
Так, со всем этим в памяти (не может повторно связать весь наш GPOS, не может создать простое наследование заблокированный OU, и GPO с более высоким приоритетом, кажется, не решает мою проблему), что я могу сделать, чтобы [временно] заблокировать приложение наследованного Ограничения программного обеспечения GPOS? Примите клиенты Windows 7 на домене/лесе Server 2008 R2 FL.
Добавьте указанные машины в группу безопасности Active Directory и добавьте группу в GPO с помощью «Запретить» для «Применить политику» (не поддавайтесь на полное отрицание, так как это будет остановить перечисление имени объекта групповой политики, что затруднит устранение неполадок). Затем при необходимости добавьте машины в эту группу.
Просто используйте параметр «Применить ко всем пользователям, кроме локальных администраторов» в разделе «Применение политик ограниченного использования программ» ... вы не разрешаете всем своим пользователям работать от имени администратора. .. вы ???
В качестве альтернативы, возможно, вы могли бы определить политики ограниченного использования программ в части конфигурации пользователя объекта групповой политики, а затем использовать фильтрацию безопасности, чтобы разрешить применение этого объекта групповой политики только к определенной группе безопасности пользователей.