เนื่องจากปริมาณงานที่สร้างโดยการระบาดของ ransomware เมื่อเร็ว ๆ นี้ (Cryptolocker / Cryptowall / ฯลฯ ) ฉันเพิ่งได้รับมอบหมายให้ดำเนินการตามนโยบายการ จำกัด ซอฟต์แวร์เพื่อบล็อกการดำเนินการของโปรแกรมจากไดเรกทอรีชั่วคราว โดยทั่วไปจะทำงานได้ดีพอ แต่เรามีปัญหาเมื่อเราต้องติดตั้งซอฟต์แวร์เนื่องจากนโยบายการ จำกัด ซอฟต์แวร์เหล่านี้ทำให้ผู้ติดตั้งไม่สามารถเข้าถึงไดเรกทอรีชั่วคราวของเครื่อง
ลำดับชั้นของ Active Directory ของเรานั้นได้รับการจัดระเบียบตามบรรทัดของไซต์ทางกายภาพของเราและวัตถุโฆษณาของเรานั้นสืบทอดมาจาก GPO สองสิบตัวแต่ละตัวจากรูทโดเมนและ OU ของไซต์นั้น ๆ ด้วยเหตุนี้ฉันจึงไม่มีตัวเลือกในการสร้างนโยบายที่ถูกบล็อก OU ออกจากรูทโดเมน (เนื่องจากไม่สืบทอดการตั้งค่านโยบายกลุ่มเฉพาะไซต์ทำให้เกิดปัญหาใหญ่กับเครื่องและผู้ใช้ระยะไกลไม่ชำนาญพอที่จะแก้ไขปัญหาได้ ) หรือเชื่อมโยงวัตถุนโยบายกลุ่มอีกครั้งใกล้กับ OU ลูก (ซึ่งอาจเกี่ยวข้องกับการดำเนินการและการเชื่อมโยงซ้ำอีกหลายร้อยครั้งซึ่งฉันไม่ต้องการทำ) หรือสร้าง OU ย่อยที่แต่ละรายการโดยมีการบล็อกการสืบทอด (เพราะฉันมี การเชื่อมโยงหลายร้อยการเชื่อมโยงที่ต้องทำในกรณีนั้น)
ที่กล่าวว่าฉันต้องการวิธีหยุด GPO นโยบายการ จำกัด ซอฟต์แวร์ชั่วคราวจากการใช้เพื่อให้เราสามารถติดตั้งซอฟต์แวร์เป็นครั้งคราว ฉันพยายามที่จะแก้ปัญหานี้ในขั้นต้นโดยการสร้าง OU ลูกในแต่ละไซต์และเชื่อมโยงนโยบายการ จำกัด ซอฟต์แวร์ผกผันโดยคิดว่าลำดับความสำคัญที่สูงกว่าของนโยบายผกผันจะแทนที่สิ่งที่สืบทอดมา แต่นั่นไม่ได้ผลเลย - RSOP แสดง คอมพิวเตอร์ที่ได้รับฟรีdisallowและunrestrictedกฎและdisallowกฎชนะในสถานการณ์นั้น
ดังนั้นในใจ (ไม่สามารถเชื่อมโยง GPO ทั้งหมดของเราใหม่ไม่สามารถสร้าง OU แบบง่าย ๆ ที่ถูกบล็อก OU และ GPO ที่มีลำดับความสำคัญสูงกว่าดูเหมือนจะไม่สามารถแก้ปัญหาของฉันได้) ฉันจะทำอะไรกับ [ชั่วคราว] บล็อกแอปพลิเคชันของข้อ จำกัด ซอฟต์แวร์ที่สืบทอด GPOs หรือไม่ สมมติว่าไคลเอนต์ Windows 7 บนโดเมน / ฟอเรสต์ Server 2008 R2 ฟอเรสต์
