windows – 如何阻止单个GPO的继承/应用?

由于最近的勒索软件爆发(Cryptolocker / Cryptowall /等)产生的工作负载,我最近的任务是实施软件限制策略以阻止程序从临时目录执行.这通常运行良好,但我们在需要安装软件时遇到问题,因为这些软件限制策略阻止安装程序访问计算机临时目录.

我们的Active Directory层次结构基本上按照物理站点的方式进行组织,我们的AD对象从域根目录及其特定站点OU继承了大量的GPO.因此,我没有选择从域根目录创建阻止的策略OU(因为没有继承特定于站点的组策略设置会导致计算机出现大问题,并且远程用户不够熟练地解决它们),或者将组策略对象重新链接到子OU(因为这将涉及数百次脱钩和重新链接操作,我不愿意这样做),或者在每个子目录中创建一个继承被阻止的子OU(因为我有在这种情况下要做几百个链接操作).

也就是说,我确实需要一种暂时停止软件限制策略GPO的方法,以便我们可以不时安装软件.我最初尝试通过在每个站点创建子OU来解决这个问题,并链接反向软件限制策略,认为反向策略的更高优先级将覆盖继承的策略,但这根本不起作用 – 一个RSOP显示计算机正在获得免费的禁止和不受限制的规则,并且在那种情况下禁止规则获胜.

因此,考虑到所有这些(无法重新链接我们所有的GPO,无法创建简单的继承阻止OU,并且具有更高优先级的GPO似乎无法解决我的问题),我该怎么做才能[暂时]阻止继承的软件限制GPO的应用?假设Server 2008 R2 FL域/林上的Windows 7客户端.

将指定的计算机添加到Active Directory安全组,并将组添加到GPO,并为“应用策略”添加“拒绝”(不要因完全拒绝而拒绝,因为它会阻止GPO名称枚举,使故障排除变得困难).然后,根据需要将计算机添加到该组.

相关文章

文章浏览阅读2.2k次,点赞6次,收藏20次。在我们平时办公工作...
文章浏览阅读1k次。解决 Windows make command not found 和...
文章浏览阅读3.2k次,点赞2次,收藏6次。2、鼠标依次点击“计...
文章浏览阅读1.3w次。蓝光版属于高清版的一种。BD英文全名是...
文章浏览阅读974次,点赞7次,收藏8次。提供了更强大的功能,...
文章浏览阅读1.4w次,点赞5次,收藏22次。如果使用iterator的...