最近のランサムウェアのアウトブレイク(Cryptolocker / Cryptowall / etc。)によって生成されたワークロードのため、最近、一時ディレクトリからのプログラム実行をブロックするソフトウェア制限ポリシーの実装を任されました。これは通常十分に機能しますが、ソフトウェアをインストールする必要がある場合は、これらのソフトウェア制限ポリシーによってインストーラーがマシンの一時ディレクトリにアクセスできないという問題があります。
Active Directory階層は基本的に物理サイトのラインに沿って編成されており、ADオブジェクトはドメインルートとその特定のサイトOUからそれぞれ約数十のGPOを継承します。そのため、ドメインルートからブロックされたポリシーOUを作成するオプションはありません(サイト固有のグループポリシー設定を継承しないと、マシンに大きな問題が発生し、リモートユーザーはそれらを解決するのに十分なスキルがありません) )、または子OUに近いグループポリシーオブジェクトを再リンクする(これには数百のリンク解除および再リンク操作が含まれるため、私は望んでいません)、または継承をブロックして子OUを作成します(私が持っているため)その場合に行うべき数百のリンク操作)。
とはいえ、ソフトウェアを時々インストールできるように、ソフトウェア制限ポリシーGPOの適用を一時的に停止する方法が必要です。各サイトで子OUを作成し、逆ソフトウェア制限ポリシーをリンクして、最初にこれを解決しようとしました。逆ポリシーの優先順位が高いと、継承されたポリシーが無効になると考えていましたが、まったく機能しませんでした-RSOPそのコンピューターは無料disallowでunrestrictedルールを取得しておりdisallow、そのシナリオではルールが勝ちます。
つまり、これらすべてを念頭に置いて(すべてのGPOを再リンクできず、単純な継承ブロックOUを作成できず、優先順位の高いGPOで問題が解決されないように見えます)、[一時的に]何ができますか継承されたソフトウェア制限GPOの適用をブロックしますか?Server 2008 R2 FLドメイン/フォレスト上のWindows 7クライアントを想定しています。
