আমি কীভাবে একক জিপিওর উত্তরাধিকার / প্রয়োগকে অবরুদ্ধ করব?

সাম্প্রতিক রেনসওয়্যার বিস্ফোরণ (ক্রিপ্টোলোকার / ক্রিপ্টোওয়াল / ইত্যাদি) দ্বারা উত্পাদিত কাজের চাপের কারণে সাময়িক ডিরেক্টরি থেকে প্রোগ্রামের প্রয়োগ নিষিদ্ধ করার জন্য আমাকে সম্প্রতি সফ্টওয়্যার বিধিনিষেধ নীতি বাস্তবায়নের দায়িত্ব দেওয়া হয়েছিল। এটি সাধারণত যথেষ্ট ভালভাবে কাজ করছে, তবে আমাদের যখন সফ্টওয়্যার ইনস্টল করার দরকার হয় তখন আমাদের একটি সমস্যা হয়, এই সফ্টওয়্যার বিধিনিষেধ নীতিগুলি ইনস্টলারদের মেশিনের অস্থায়ী ডিরেক্টরিগুলি অ্যাক্সেস করা থেকে বিরত করে।

আমাদের অ্যাক্টিভ ডিরেক্টরি ডিরেক্টরি শ্রেণিবিন্যাসটি মূলত আমাদের শারীরিক সাইটগুলির লাইন ধরেই সংগঠিত হয় এবং আমাদের এডি অবজেক্টগুলি ডোমেন রুট এবং তাদের নির্দিষ্ট সাইট ওউ থেকে প্রায় কয়েক ডজন জিপিও লাভ করে। এর মতো, ডোমেন রুট ছাড়াই আমার কাছে কোনও ব্লক নীতি OU তৈরি করার বিকল্প নেই (সাইট-নির্দিষ্ট গ্রুপ নীতি সেটিংস উত্তরাধিকারসূত্রে না পেয়ে মেশিনগুলির সাথে বড় সমস্যার সৃষ্টি করে, এবং দূরবর্তী ব্যবহারকারীরা এগুলি সমাধান করার জন্য যথেষ্ট দক্ষ নন ) বা শিশু নীতিকে আরও নিকটবর্তী করে গ্রুপ পলিসি অবজেক্টগুলিকে রিঙ্কিং করা (এতে কয়েক শতাধিক ডেলিকিং এবং রিলিংকিং অপারেশন জড়িত হবে, যা আমি করতে রাজি নই), বা উত্তরাধিকারসূত্রে প্রতিটিতে একটি শিশু OU তৈরি করা অবরুদ্ধ করা হয়েছে (কারণ আমার ছিল এক্ষেত্রে কয়েকশত সংযোগকারী অপারেশন)।

এটি বলেছে, সফ্টওয়্যার বিধিনিষেধ নীতি জিপিওকে সাময়িকভাবে প্রয়োগ করা বন্ধ করার জন্য আমার একটি উপায় দরকার, যাতে আমরা সময়ে সময়ে সফ্টওয়্যার ইনস্টল করতে পারি। আমি প্রথমে প্রতিটি সাইটে একটি শিশু ওইউ তৈরি করে এবং একটি বিপরীতমুখী সফ্টওয়্যার বিধিনিষেধ নীতিকে যুক্ত করে এই সমস্যার সমাধান করার চেষ্টা করেছি, এই ভেবে যে বিপরীত নীতিটির উচ্চতর অগ্রাধিকার উত্তরাধিকারী ব্যক্তিকে ছাড়িয়ে যাবে, তবে এটি কোনওভাবেই কার্যকর হয়নি - একটি আরএসওপি দেখিয়েছিল কম্পিউটারগুলি প্রশংসামূলক disallowএবং unrestrictedনিয়ম পাচ্ছিল এবং নিয়মগুলি সেই disallowদৃশ্যে জয়লাভ করে।

সুতরাং, এই সমস্ত বিষয় মাথায় রেখে (আমাদের সমস্ত জিপিওগুলি রিলিং করতে পারে না, একটি সাধারণ উত্তরাধিকারী অবরুদ্ধ ওউ তৈরি করতে পারে না, এবং উচ্চতর অগ্রাধিকারের একটি জিপিও আমার সমস্যা সমাধান করবে বলে মনে হয় না), আমি [সাময়িকভাবে] কী করতে পারি? উত্তরাধিকার সূত্রে প্রাপ্ত সফটওয়্যার বাধা জিপিওগুলির প্রয়োগকে ব্লক করবেন? একটি সার্ভার ২০০৮ আর 2 এফএল ডোমেন / ফরেস্টে উইন্ডোজ clients ক্লায়েন্ট ধরে নিন।

একটি অ্যাক্টিভ ডিরেক্টরি সুরক্ষা গোষ্ঠীতে নির্দিষ্ট মেশিনগুলি যুক্ত করুন এবং "নীতি প্রয়োগ করুন" এর জন্য "অস্বীকার করুন" দিয়ে জিপিওতে গোষ্ঠী যুক্ত করুন (জিপিওর নামটি গণনা করা থেকে বিরত হবে, কারণ সমস্যা সমাধানের বিষয়টি জটিল করে তোলে )। তারপরে, প্রয়োজনীয়ভাবে সেই গ্রুপে মেশিনগুলি যুক্ত করুন।

সফ্টওয়্যার বিধিনিষেধ নীতি প্রয়োগের ক্ষেত্রে "স্থানীয় প্রশাসক ব্যতীত সকল ব্যবহারকারীর জন্য প্রয়োগ করুন" এটিকে সহজভাবে ব্যবহার করুন ... আপনি আপনার সমস্ত ব্যবহারকারীকে প্রশাসক হিসাবে চালাতে দেবেন না ... আপনি ???

বিকল্প হিসাবে, সম্ভবত আপনি জিপিওর ব্যবহারকারীর কনফিগারেশন অংশে সফ্টওয়্যার বাধা নীতিগুলি সংজ্ঞায়িত করতে পারেন, তারপরে সেই জিপিওর ব্যবহারকারীর একটি নির্দিষ্ট সুরক্ষা গোষ্ঠীতে কেবল প্রয়োগ করার অনুমতি দেওয়ার জন্য সুরক্ষা ফিল্টারিং ব্যবহার করুন।