加入收藏 | 设为首页 | 会员中心 | 我要投稿 PHP编程网 - 黄冈站长网 (http://www.0713zz.com/)- 数据应用、建站、人体识别、智能机器人、语音技术!
当前位置: 首页 > 服务器 > 搭建环境 > Windows > 正文

windows – 如何阻止单个GPO的继承/应用?

发布时间:2021-03-11 02:28:56 所属栏目:Windows 来源:网络整理
导读:由于最近的勒索软件爆发(Cryptolocker / Cryptowall /等)产生的工作负载,我最近的任务是实施软件限制策略以阻止程序从临时目录执行.这通常运行良好,但我们在需要安装软件时遇到问题,因为这些软件限制策略阻止安装程序访问计算机临时目录. 我们的Active Dir

由于最近的勒索软件爆发(Cryptolocker / Cryptowall /等)产生的工作负载,我最近的任务是实施软件限制策略以阻止程序从临时目录执行.这通常运行良好,但我们在需要安装软件时遇到问题,因为这些软件限制策略阻止安装程序访问计算机临时目录.

我们的Active Directory层次结构基本上按照物理站点的方式进行组织,我们的AD对象从域根目录及其特定站点OU继承了大量的GPO.因此,我没有选择从域根目录创建阻止的策略OU(因为没有继承特定于站点的组策略设置会导致计算机出现大问题,并且远程用户不够熟练地解决它们),或者将组策略对象重新链接到子OU(因为这将涉及数百次脱钩和重新链接操作,我不愿意这样做),或者在每个子目录中创建一个继承被阻止的子OU(因为我有在这种情况下要做几百个链接操作).

也就是说,我确实需要一种暂时停止软件限制策略GPO的方法,以便我们可以不时安装软件.我最初尝试通过在每个站点创建子OU来解决这个问题,并链接反向软件限制策略,认为反向策略的更高优先级将覆盖继承的策略,但这根本不起作用 – 一个RSOP显示计算机正在获得免费的禁止和不受限制的规则,并且在那种情况下禁止规则获胜.

因此,考虑到所有这些(无法重新链接我们所有的GPO,无法创建简单的继承阻止OU,并且具有更高优先级的GPO似乎无法解决我的问题),我该怎么做才能[暂时]阻止继承的软件限制GPO的应用?假设Server 2008 R2 FL域/林上的Windows 7客户端.

将指定的计算机添加到Active Directory安全组,并将组添加到GPO,并为“应用策略”添加“拒绝”(不要因完全拒绝而拒绝,因为它会阻止GPO名称枚举,使故障排除变得困难).然后,根据需要将计算机添加到该组.

(编辑:PHP编程网 - 黄冈站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读