단일 GPO의 상속 / 응용을 어떻게 차단합니까? 제한 정책을 구현해야했습니다. 이것은

최근 랜섬웨어 발생 (Cryptolocker / Cryptowall / etc.)에 의해 생성 된 워크로드로 인해 최근에는 임시 디렉토리에서 프로그램 실행을 차단하는 소프트웨어 제한 정책을 구현해야했습니다. 이것은 일반적으로 충분히 작동하지만 소프트웨어 제한 정책으로 인해 설치 프로그램이 시스템 임시 디렉토리에 액세스 할 수 없기 때문에 소프트웨어를 설치해야 할 때 문제가 있습니다.

Active Directory 계층 구조는 기본적으로 실제 사이트의 선을 따라 구성되며 AD 개체는 각각 도메인 루트와 특정 사이트 OU에서 각각 약 12 ​​개의 GPO를 상속합니다. 따라서 사이트 별 그룹 정책 설정을 상속하지 않으면 시스템에 큰 문제가 발생하고 원격 사용자는이를 해결하기에 충분하지 않기 때문에 도메인 루트에서 차단 된 정책 OU를 생성 할 수있는 옵션이 없습니다. ) 또는 그룹 정책 개체를 자식 OU에 더 가깝게 다시 연결 (수백 개의 연결 해제 및 다시 연결 작업이 필요하지 않음) 또는 상속이 차단 된 각 항목에서 자식 OU 만들기 (내가 가지고 있기 때문에) 이 경우 수백 개의 연결 작업이 수행됩니다.

즉, 소프트웨어 제한 정책 GPO 적용을 일시적으로 중지하여 소프트웨어를 수시로 설치할 수있는 방법이 필요합니다. 처음에는 각 사이트에서 자식 OU를 만들고 역 소프트웨어 제한 정책을 연결하여 역 정책의 우선 순위가 상속 된 정책을 무시하지만 전혀 작동하지 않는다고 생각 하여이 문제를 해결하려고했지만 RSOP가 표시했습니다. 컴퓨터가 무료 disallowunrestricted규칙 disallow을 얻었고 해당 시나리오에서 규칙이 승리했습니다.

따라서 모든 GPO를 다시 연결할 수 없으며 간단한 상속 차단 OU를 만들 수 없으며 우선 순위가 높은 GPO가 내 문제를 해결하지 못하는 것 같습니다. [임시] 상속 된 소프트웨어 제한 GPO 적용을 차단 하시겠습니까? Server 2008 R2 FL 도메인 / 포리스트에서 Windows 7 클라이언트를 가정합니다.



답변

지정된 컴퓨터를 Active Directory 보안 그룹에 추가하고 “정책 적용”에 대해 “거부”를 사용하여 그룹을 GPO에 추가하십시오 (GPO 이름이 열거되지 않도록 완전히 거부해도 문제 해결이 어렵습니다) ). 그런 다음 필요에 따라 머신을 해당 그룹에 추가하십시오.


답변

간단하게 시행 … 당신은 소프트웨어 제한 정책에서 설정 “로컬 관리자를 제외한 모든 사용자에게 적용”사용 하지 않는 … 수 있도록 모든 사용자가 관리자 권한으로 실행 을 할 ???

또는 GPO의 사용자 구성 부분에서 소프트웨어 제한 정책을 정의한 다음 보안 필터링을 사용하여 GPO가 특정 보안 그룹의 사용자에게만 적용되도록 할 수 있습니다.