単一のGPOの継承/適用をブロックするにはどうすればよいですか？

最近のランサムウェアのアウトブレイク（Cryptolocker/Cryptowall/etc。）によって生成されたワークロードのため、最近、一時ディレクトリからのプログラム実行をブロックするソフトウェア制限ポリシーの実装を任されました。これは通常十分に機能しますが、ソフトウェアをインストールする必要がある場合、これらのソフトウェア制限ポリシーによってインストーラーがマシンの一時ディレクトリにアクセスできないという問題があります。

Active Directory階層は基本的に物理サイトのラインに沿って編成されており、ADオブジェクトはドメインルートとその特定のサイトOUからそれぞれ約数十のGPOを継承します。そのため、ドメインルートからブロックされたポリシーOUを作成するオプションはありません（サイト固有のグループポリシー設定を継承しないと、マシンに大きな問題が発生し、リモートユーザーはそれらを解決するのに十分なスキルがありません） ）、または子OUに近いグループポリシーオブジェクトを再リンクする（これには数百のリンク解除および再リンク操作が含まれるため、私は望んでいません）、または継承をブロックして子OUを作成します（私が持っているため）その場合に実行する数百のリンク操作）。

とはいえ、ソフトウェア制限ポリシーの適用を一時的に停止する方法が必要ですGPO時々ソフトウェアをインストールできるようにします。私は最初に子OUを作成してこれを解決しようとしました各サイトで、逆ソフトウェア制限ポリシーをリンクし、逆ポリシーの優先順位が高い方が継承されたポリシーを上書きすると考えていましたが、まったく機能しませんでした。RSOPは、コンピュータが無料で使用されていることを示しましたdisallowそしてunrestrictedルール、そしてdisallowルールがそのシナリオで勝つ。

したがって、これらすべてを念頭に置いて（すべてのGPOを再リンクすることはできず、単純な継承ブロックOUを作成することはできません。また、GPO優先順位が高くても問題が解決しないようです） 、継承されたソフトウェア制限GPOのアプリケーションを[一時的に]ブロックするにはどうすればよいですか？サーバー2008 R2 FLドメイン/フォレスト上のWindows 7クライアントを想定しています。