최근 랜섬웨어 발생 (Cryptolocker / Cryptowall / etc.)에 의해 생성 된 워크로드로 인해 최근에는 임시 디렉토리에서 프로그램 실행을 차단하는 소프트웨어 제한 정책을 구현해야했습니다. 이것은 일반적으로 충분히 작동하지만 소프트웨어 제한 정책으로 인해 설치 프로그램이 시스템 임시 디렉토리에 액세스 할 수 없기 때문에 소프트웨어를 설치해야 할 때 문제가 있습니다.
Active Directory 계층 구조는 기본적으로 실제 사이트의 선을 따라 구성되며 AD 개체는 각각 도메인 루트와 특정 사이트 OU에서 각각 약 12 개의 GPO를 상속합니다. 따라서 사이트 별 그룹 정책 설정을 상속하지 않으면 시스템에 큰 문제가 발생하고 원격 사용자는이를 해결하기에 충분하지 않기 때문에 도메인 루트에서 차단 된 정책 OU를 생성 할 수있는 옵션이 없습니다. ) 또는 그룹 정책 개체를 자식 OU에 더 가깝게 다시 연결 (수백 개의 연결 해제 및 다시 연결 작업이 필요하지 않음) 또는 상속이 차단 된 각 항목에서 자식 OU 만들기 (내가 가지고 있기 때문에) 이 경우 수백 개의 연결 작업이 수행됩니다.
즉, 소프트웨어 제한 정책 GPO 적용을 일시적으로 중지하여 소프트웨어를 수시로 설치할 수있는 방법이 필요합니다. 처음에는 각 사이트에서 자식 OU를 만들고 역 소프트웨어 제한 정책을 연결하여 역 정책의 우선 순위가 상속 된 정책을 무시하지만 전혀 작동하지 않는다고 생각 하여이 문제를 해결하려고했지만 RSOP가 표시했습니다. 컴퓨터가 무료 disallow및 unrestricted규칙 disallow을 얻었고 해당 시나리오에서 규칙이 승리했습니다.
따라서 모든 GPO를 다시 연결할 수 없으며 간단한 상속 차단 OU를 만들 수 없으며 우선 순위가 높은 GPO가 내 문제를 해결하지 못하는 것 같습니다. [임시] 상속 된 소프트웨어 제한 GPO 적용을 차단 하시겠습니까? Server 2008 R2 FL 도메인 / 포리스트에서 Windows 7 클라이언트를 가정합니다.
