如何阻止单个GPO的inheritance/应用程序?
由于近期勒索软件爆发(Cryptolocker / Cryptowall /等)产生的工作量,最近我的任务是实施软件限制策略来阻止临时目录中的程序执行。 这通常工作得不错,但是当我们需要安装软件的时候,我们遇到了问题,因为这些软件限制策略阻止安装者访问机器的临时目录。
我们的Active Directory层次结构基本上是按照我们的物理站点的行来组织的,我们的AD对象inheritance了几个来自域根和它们的特定站点OU的GPO。 因此,我没有select在域根目录下创build阻止的策略OU(因为不inheritance特定于站点的组策略设置会导致计算机出现严重问题,而且远程用户也不够熟练,无法解决这些问题),或者将组策略对象更靠近子OU(因为这将涉及几百个我不愿意做的脱链和重链操作),或者在每个阻塞inheritance的情况下创build一个子OU(因为我会拥有在这种情况下做几百个连接操作)。
也就是说,我需要暂时停止软件限制策略GPO的应用,以便我们可以不时地安装软件。 我试图通过在每个站点创build一个子OU来解决这个问题,并且连接了一个反向的软件限制策略,认为反向策略的更高优先级将会覆盖inheritance的策略,但是这根本不起作用 – 一个RSOP显示电脑获得免费的disallow和unrestricted规则, disallow规则在这种情况下获胜。
因此,考虑到这一切(无法重新链接所有的GPO,不能创build简单的inheritance阻止的OU,而具有更高优先级的GPO似乎不能解决我的问题),我可以做些什么来[暂时]阻止inheritance的软件限制GPO的应用程序? 假定Server 2008 R2 FL域/林中的Windows 7客户端。
- 与在Active Directory中存储照片相关的问题?
- 我可以在不创builddomain.com的情况下创build活动目录forest corp.domain.com吗?
- 我应该在域控制器上安装AV产品吗?
- 什么是最好的维基在Windows上运行?
- 在Active Directory中,用户帐户被locking在全域范围还是在服务器级别?
将指定的计算机添加到Active Directory安全组,然后将该组添加到GPO中,使用“拒绝”作为“应用策略”(不要认为完全拒绝,因为它会阻止GPO名称枚举,使故障排除变得困难)。 然后,根据需要将机器添加到该组。
只需使用软件限制策略执行中的“应用于除本地pipe理员以外的所有用户”设置即可……您不会让所有用户都以pipe理员身份运行…… 您呢?
或者,也许可以在GPO的“用户configuration”部分中定义“软件限制策略”,然后使用“安全筛选”来允许该GPO仅适用于特定的安全用户组。