Comment bloquer l'héritage / l'application d'un gpo unique?
En raison de la charge de travail générée par les récentes épidémies de ransomware (Cryptolocker/Cryptowall /, etc.), j'ai récemment été chargée de mettre en œuvre des stratégies de restriction de logiciels pour bloquer l'exécution du programme à partir de répertoires temporaires. Cela fonctionne généralement assez bien, mais nous avons un problème lorsque nous devons installer des logiciels, dans la mesure où ces stratégies de restriction logicielle empêchent les installateurs d'accéder aux répertoires temporaires de la machine.
Notre hiérarchie Active Directory est essentiellement organisée dans le sens de nos sites physiques, et nos objets de publicité héritent d'une douzaine de gôvage de gôvage de la racine de domaine et de leur site spécifique. En tant que tel, je n'ai pas la possibilité de créer une stratégie bloquée de la racine de domaine (comme n'étant pas hérité des paramètres de stratégie de groupe spécifiques au site provoque de gros problèmes avec les machines et les utilisateurs distants ne sont pas suffisamment qualifiés pour les résoudre. ), ou de relindre des objets de la politique de groupe plus proches de l'enfant OU (comme cela impliquerait plusieurs centaines d'opérations de délinking et de réininking, que je ne suis pas disposée à faire) ou de créer un enfant ou de la création d'un enfant à chacun avec héritage bloqué (parce que j'aurais plusieurs centaines d'opérations de liaison à faire dans cette affaire).
Cela dit, j'ai besoin d'un moyen d'arrêter temporairement la stratégie de restriction logicielle GPO de l'application, de sorte que nous puissions installer des logiciels de temps à autre. J'ai essayé de résoudre ce problème initialement en créant un enfant ou Sur chaque site et reliant une politique de restriction de logiciels inverse, pensant que la priorité la plus élevée de la politique inverse remplacerait le hérité, mais cela n'a pas fonctionné du tout - une RSOP a montré que les ordinateurs deviennent complémentaires disallow et unrestricted règles, et les règles disallow gagnent dans ce scénario.
Donc, avec tout cela à l'esprit (ne peut pas relier à tous nos logiciels de gôvage, vous ne pouvez pas créer de simple héritage bloqué ou a GPO avec une priorité plus élevée ne semble pas résoudre mon problème) , Que puis-je faire pour bloquer [temporairement] l'application des goshérents de restriction logicielle héritées? Supposons Windows 7 clients sur un serveur 2008 R2 FL Domain/Forest.
Ajoutez les machines spécifiées à un groupe de sécurité Active Directory et ajoutez le groupe au GPO avec une "nie" pour "Politique d'application" (ne tombez pas pour faire une nie complète car elle s'arrête Le GPO Nom de l'énumération, faisant du dépannage difficile). Ensuite, ajoutez les machines à ce groupe au besoin.
Utilisez simplement le paramètre "Appliquer à tous les utilisateurs, à l'exception des administrateurs locaux" dans l'application des stratégies de restriction de logiciels ... vous ne "pas Laissez tous vos utilisateurs fonctionnant comme Administrateur ... Est-ce que vous ???
Comme alternative, vous pourriez peut-être définir les stratégies de restriction logicielle dans la partie de configuration de l'utilisateur de la GPO, puis utilisez le filtrage de la sécurité pour permettre que GPO doit s'appliquer uniquement à un groupe de sécurité particulier d'utilisateurs.