Grundlegendes zu Ausnahmen von AppLocker-Regeln

In diesem Artikel wird das Ergebnis der Anwendung von AppLocker-Regelausnahmen auf Regelsammlungen beschrieben.

Sie können AppLocker-Regeln auf einzelne Benutzer oder eine Gruppe von Benutzern anwenden. Wenn Sie eine Regel auf eine Gruppe von Benutzern anwenden, wirkt sich die Regel auf alle Benutzer in dieser Gruppe aus. Wenn Sie einer Teilmenge einer Benutzergruppe die Verwendung einer App erlauben müssen, können Sie eine spezielle Regel für diese Teilmenge erstellen.

Die Regel "Jeder darf Windows außer Registrierungs-Editor ausführen" ermöglicht beispielsweise jedem das Ausführen von Windows-Binärdateien, erlaubt jedoch niemandem das Ausführen von Registrierungs-Editor (durch Hinzufügen von %WINDIR%\regedit.exe als Pfad-Ausnahme für die Regel).
Diese Regel würde verhindern, dass Benutzer wie Helpdeskmitarbeiter das Registrierungs-Editor ausführen, ein Programm, das für ihre Supportaufgaben erforderlich ist.
Um dieses Problem zu beheben, erstellen Sie eine zweite Regel, die für die Helpdesk-Benutzergruppe gilt: "Helpdesk darf Registrierungs-Editor ausführen", und fügen Sie %WINDIR%\regedit.exe als zulässigen Pfad hinzu. Wenn Sie eine Ablehnungsregel erstellen, die registrierungsbezogene Editor für alle Benutzer blockiert, setzt die Verweigerungsregel die zweite Regel außer Kraft, die es der Helpdesk-Benutzergruppe ermöglicht, Registrierungs-Editor auszuführen.