如何阻止单个GPO的继承/应用？

由于最近的勒索软件爆发（Cryptolocker / Cryptowall / etc）产生的工作量，我最近受命执行软件限制策略来阻止临时目录中的程序执行。通常这已经足够好了，但是当我们需要安装软件时就会遇到问题，因为这些软件限制策略会阻止安装程序访问计算机临时目录。

我们的Active Directory层次结构基本上是按照物理站点的方式组织的，并且我们的AD对象从域根及其特定站点OU继承大约数十个GPO。因此，我既不能选择在域根之外创建阻止的策略OU（因为不继承特定于站点的组策略设置会导致计算机出现严重问题，并且远程用户不够熟练，无法解决它们），或者将组策略对象重新链接到更靠近子OU的位置（因为这将涉及数百个取消链接和重新链接操作，而我不愿意这样做），或者在每个继承受阻的子OU中创建一个子OU（因为我有在这种情况下要执行几百个链接操作）。

也就是说，我确实需要一种方法来暂时停止应用软件限制策略GPO，以便我们可以不时安装软件。我最初尝试通过在每个站点上创建一个子OU并链接反向软件限制策略来解决此问题，以为反向策略的更高优先级将覆盖继承的策略，但这根本不起作用-RSOP显示表示计算机获得了补充disallow和unrestricted规则，并且disallow在这种情况下规则将获胜。

因此，考虑到所有这些（无法重新链接我们的所有GPO，无法创建简单的继承阻止的OU，并且具有更高优先级的GPO似乎无法解决我的问题），我该怎么做[临时]阻止继承的软件限制GPO的应用程序？假定Windows 7客户端在Server 2008 R2 FL域/林中。

将指定的计算机添加到Active Directory安全组中，并使用“拒绝”将其添加到GPO中，以表示“应用策略”（不要完全拒绝，因为它将阻止枚举GPO名称，从而使故障排除变得困难）。然后，根据需要将计算机添加到该组。

只需使用“应用到所有用户除本地管理员”中的软件限制策略执行...你设置不要让所有用户以管理员身份运行...... 你???

作为替代方案，也许您可​​以在GPO的“用户配置”部分中定义“软件限制策略”，然后使用“安全筛选”使该GPO仅适用于特定的用户安全组。