Как заблокировать наследование / применение одного объекта групповой политики?

Из-за рабочей нагрузки, вызванной недавними вспышками вымогателей (Cryptolocker / Cryptowall / etc.), Мне недавно была поручена реализация политик ограниченного использования программ для блокировки выполнения программ из временных каталогов. Обычно это работает достаточно хорошо, но у нас возникает проблема, когда нам нужно установить программное обеспечение, так как эти политики ограниченного использования программ не позволяют установщикам получить доступ к временным каталогам компьютера.

Наша иерархия Active Directory в основном организована в соответствии с нашими физическими сайтами, и наши объекты AD наследуют около пары дюжин объектов групповой политики, каждый из которых находится в корневом каталоге домена и в их отдельных подразделениях сайта. Поэтому у меня нет возможности создать заблокированное подразделение политики вне корневого домена домена (поскольку отсутствие наследования параметров групповой политики для конкретного сайта приводит к большим проблемам с машинами, а удаленные пользователи не обладают достаточной квалификацией для их решения). ) или перепривязка объектов групповой политики ближе к дочерним подразделениям (так как это потребовало бы нескольких сотен операций разделения и повторного связывания, что я не хочу делать), или создание дочернего подразделения в каждом с заблокированным наследованием (потому что я бы несколько сотен операций связывания в этом случае).

Тем не менее, мне нужен способ временно остановить применение политики GPO, чтобы мы могли время от времени устанавливать программное обеспечение. Сначала я попытался решить эту проблему, создав дочернее подразделение на каждом сайте и связав обратную политику ограниченного использования программ, полагая, что более высокий приоритет обратной политики переопределит унаследованную, но это не сработало вообще - RSOP показал что компьютеры стали бесплатными disallowи unrestrictedправилами, и disallowправила выигрывают в этом сценарии.

Итак, учитывая все это (не могу связать все наши объекты групповой политики, не могу создать простое подразделение, заблокированное наследованием, и объект групповой политики с более высоким приоритетом, похоже, не решает мою проблему), что я могу сделать, чтобы [временно] заблокировать применение унаследованных программных ограничителей GPO? Предположим, что клиенты Windows 7 находятся в домене / лесу FL Server Server 2008 R2.

Добавьте указанные машины в группу безопасности Active Directory и добавьте группу в объект групповой политики с помощью «Запретить» для «Применить политику» (не поддавайтесь полному запрету, поскольку это не позволит перечислить имя объекта групповой политики, что затрудняет поиск и устранение неисправностей). ). Затем добавьте машины в эту группу по мере необходимости.

Просто используйте параметр «Применить ко всем пользователям, кроме локальных администраторов» в разделе «Применение политик ограниченного использования программ» ... вы не позволяете всем своим пользователям работать от имени администратора ... не так ли?

В качестве альтернативы, возможно, вы могли бы определить Политики ограниченного использования программ в разделе «Конфигурация пользователя» объекта групповой политики, а затем использовать фильтрацию безопасности, чтобы позволить этому объекту групповой политики применяться только к определенной группе безопасности пользователей.