Comment bloquer l'héritage / l'application d'un seul objet de stratégie de groupe?

En raison de la charge de travail générée par les récentes épidémies de ransomware (Cryptolocker / Cryptowall / etc.), J'ai récemment été chargé d'implémenter des politiques de restriction logicielle pour bloquer l'exécution du programme à partir de répertoires temporaires. Cela fonctionne généralement assez bien, mais nous avons un problème lorsque nous devons installer un logiciel, dans la mesure où ces politiques de restriction logicielle empêchent les installateurs d'accéder aux répertoires temporaires de la machine.

Notre hiérarchie Active Directory est essentiellement organisée sur le modèle de nos sites physiques, et nos objets AD héritent d'une douzaine de GPO chacun de la racine du domaine et de leurs unités d'organisation de site spécifiques. En tant que tel, je n'ai pas la possibilité de créer une unité d'organisation de stratégie bloquée à partir de la racine du domaine (car l'héritage des paramètres de stratégie de groupe spécifiques au site provoque de gros problèmes avec les machines, et les utilisateurs distants ne sont pas suffisamment qualifiés pour les résoudre ), ou relier des objets de stratégie de groupe plus près des unités d'organisation enfants (comme cela impliquerait plusieurs centaines d'opérations de déconnexion et de liaison, ce que je ne suis pas prêt à faire), ou créer une unité d'organisation enfant à chacune avec l'héritage bloqué (car j'aurais plusieurs centaines d'opérations de liaison à faire dans ce cas).

Cela dit, j'ai besoin d'un moyen d'arrêter temporairement l'application de stratégie de groupe de stratégie de restriction logicielle, afin que nous puissions installer des logiciels de temps en temps. J'ai essayé de résoudre ce problème initialement en créant une unité d'organisation enfant sur chaque site et en liant une politique de restriction logicielle inverse, en pensant que la priorité plus élevée de la politique inverse remplacerait celle héritée, mais cela n'a pas fonctionné du tout - un RSOP a montré que les ordinateurs devenaient complémentaires disallowet les unrestrictedrègles, et les disallowrègles gagnent dans ce scénario.

Donc, avec tout cela à l'esprit (ne peut pas relier tous nos GPO, ne peut pas créer une unité d'organisation bloquée par héritage simple, et un GPO avec une priorité plus élevée ne semble pas résoudre mon problème), que puis-je faire pour [temporairement] bloquer l'application des GPO hérités de restriction logicielle? Supposons que les clients Windows 7 sur un domaine / forêt FL Server 2008 R2.

Ajoutez les machines spécifiées à un groupe de sécurité Active Directory et ajoutez le groupe à l'objet de stratégie de groupe avec un "Refus" pour "Appliquer la stratégie" (Ne tombez pas dans le refus complet car cela empêchera le nom de l'objet de stratégie de groupe d'énumérer, ce qui rend le dépannage difficile ). Ensuite, ajoutez les machines à ce groupe selon les besoins.

Utilisez simplement le paramètre "Appliquer à tous les utilisateurs sauf les administrateurs locaux" dans l'application des stratégies de restriction logicielle ... vous ne laissez pas tous vos utilisateurs s'exécuter en tant qu'administrateur ... le faites-vous ???

Vous pouvez également définir les stratégies de restriction logicielle dans la partie Configuration utilisateur du GPO, puis utiliser le filtrage de sécurité pour autoriser ce GPO à ne s'appliquer qu'à un groupe particulier de sécurité d'utilisateurs.