Come blocco l'ereditarietà / l'applicazione di un singolo oggetto Criteri di gruppo?

A causa del carico di lavoro generato dai recenti focolai di ransomware (Cryptolocker / Cryptowall / ecc.), Di recente mi è stato assegnato il compito di implementare politiche di restrizione del software per bloccare l'esecuzione del programma da directory temporanee. In genere funziona abbastanza bene, ma abbiamo un problema quando è necessario installare il software, in quanto queste politiche di restrizione del software impediscono agli installatori di accedere alle directory temporanee della macchina.

La nostra gerarchia di Active Directory è sostanzialmente organizzata secondo le linee dei nostri siti fisici e i nostri oggetti AD ereditano circa una dozzina di oggetti Criteri di gruppo ciascuno dalla radice del dominio e dalle unità organizzative del sito specifico. Pertanto, non ho la possibilità di creare un'unità organizzativa di criteri bloccati al di fuori della radice del dominio (poiché non ereditare le impostazioni di Criteri di gruppo specifici del sito causa grossi problemi con le macchine e gli utenti remoti non sono abbastanza esperti per risolverli ) o ricollegare oggetti Criteri di gruppo più vicini alle unità organizzative secondarie (poiché ciò implicherebbe diverse centinaia di operazioni di delinking e ricollegamento, cosa che non sono disposto a fare), o la creazione di un'unità organizzativa figlio in ciascuna con eredità bloccata (perché avrei diverse centinaia di operazioni di collegamento da fare in quel caso).

Detto questo, ho bisogno di un modo per interrompere temporaneamente l'applicazione della politica di restrizione software all'oggetto Criteri di gruppo, in modo da poter installare il software di volta in volta. Ho cercato inizialmente di risolverlo creando un'unità organizzativa figlio in ciascun sito e collegando una politica inversa di restrizione software, pensando che la precedenza più elevata della politica inversa avrebbe prevalso su quella ereditata, ma che non funzionava affatto - un RSOP ha mostrato che i computer stavano diventando gratuiti disallowe le unrestrictedregole, e le disallowregole vincono in quello scenario.

Quindi, tenendo presente tutto ciò (non riesco a ricollegare tutti i nostri oggetti Criteri di gruppo, non è possibile creare una OU bloccata per ereditarietà semplice e un oggetto Criteri di gruppo con precedenza più elevata non sembra risolvere il mio problema), cosa posso fare per [temporaneamente] bloccare l'applicazione degli oggetti Criteri di gruppo di restrizione software ereditati? Si supponga che i client Windows 7 su un dominio / foresta FL Server 2008 R2.

Aggiungi i computer specificati a un gruppo di sicurezza di Active Directory e aggiungi il gruppo all'oggetto Criteri di gruppo con un "Nega" per "Applica criterio" (Non cadere per negare completamente poiché impedirà l'enumerazione del nome dell'oggetto Criteri di gruppo, rendendo difficile la risoluzione dei problemi ). Quindi, aggiungere le macchine a quel gruppo come richiesto.

Basta usare l'impostazione "Applica a tutti gli utenti tranne gli amministratori locali" nell'applicazione delle norme sulla restrizione del software ... non lasciare che tutti gli utenti vengano eseguiti come amministratore ... vero ???

In alternativa, forse è possibile definire i Criteri di restrizione software nella parte Configurazione utente dell'oggetto Criteri di gruppo, quindi utilizzare il Filtro sicurezza per consentire a tale oggetto Criteri di gruppo di applicarsi solo a un determinato gruppo di utenti di sicurezza.