Informazioni sull'ereditarietà delle regole di AppLocker e delle impostazioni di imposizione in Criteri di gruppo
Questo argomento, destinato ai professionisti IT, descrive come i criteri di controllo delle applicazioni configurati in AppLocker vengono applicati mediante Criteri di gruppo.
L'imposizione delle regole è valida solo per le raccolte regole e non per le singole regole. AppLocker suddivide le regole nelle raccolte seguenti: file eseguibili, file di Windows Installer, script, app in pacchetto, programmi di installazione di app in pacchetto e file DLL. Le opzioni per l'imposizione delle regole sono Non configurata, Imponi regole o Controlla soltanto. Congiuntamente tutte le raccolte regole di AppLocker compongono i criteri di controllo delle applicazioni, definiti anche criteri di AppLocker.
Criteri di gruppo unisce i criteri di AppLocker in due modi:
Regole. I Criteri di gruppo non sovrascrivono o sostituiscono le regole già presenti in un oggetto Criteri di gruppo collegato. Ad esempio, se l'oggetto Criteri di gruppo include 12 regole e un oggetto Criteri di gruppo collegato include 50 regole, vengono applicate 62 regole a tutti i computer a cui vengono applicati i criteri di AppLocker.
Importante
Per determinare se l'esecuzione di un file è consentita, AppLocker elabora le regole nell'ordine seguente:
Negazione esplicita. Un amministratore ha creato una regola per negare l'esecuzione di un file.
Consenso esplicito. Un amministratore ha creato una regola per consentire l'esecuzione di un file.
Negazione implicita. Definita anche 'negazione predefinita', tutti i file non interessati da una regola che ne autorizza l'esecuzione vengono bloccati automaticamente.
Impostazioni di imposizione. Viene applicata l'ultima scrittura nei criteri. Ad esempio, se un oggetto Criteri di livello superiore include l'impostazione di imposizione configurata su Imponi regole e l'oggetto Criteri di gruppo più vicino include l'impostazione configurata su Controlla soltanto, verrà imposta l'impostazione Controlla soltanto. Se l'imposizione non è configurata nell'oggetto Criteri di gruppo più vicino, verrà imposta l'impostazione dell'oggetto Criteri di gruppo collegato più vicino.
Dal momento che criteri efficaci di un computer includono regole da ciascun oggetto Criteri di gruppo collegati, è possibile che nel computer di un utente vengano imposte regole duplicate o in conflitto tra loro. Di conseguenza, dovresti pianificare attentamente la distribuzione per garantire che in un oggetto Criteri di gruppo siano presenti solo le regole necessarie.
La figura seguente illustra come l'imposizione delle regole di AppLocker viene applicata mediante gli oggetti Criteri di gruppo collegati.
.gif "Grafico dell'ereditarietà dell'imposizione delle regole di AppLocker")
Nella figura precedente tutti gli oggetti Criteri di gruppo collegati a Contoso vengono applicati nell'ordine configurato. Le regole non configurate non vengono applicate. Ad esempio, il risultato degli oggetti Criteri di gruppo Contoso e HumanResources è 33 regole imposte, come illustrato nel client HR-Term1. L'oggetto Criteri di gruppo HumanResources contiene 10 regole non configurate. Quando la raccolta regole è configurato con la modalità Controlla soltanto, non viene imposta alcuna regola.
Quando crei l'architettura di Criteri di gruppo per l'applicazione dei criteri di AppLocker, devi ricordare quanto segue:
Verranno applicate le raccolte regole non configurate.
I Criteri di gruppo non sovrascrivono o sostituiscono le regole già presenti in un oggetto Criteri di gruppo collegato.
AppLocker elabora la configurazione delle regole di negazione esplicita prima della configurazione delle regole di consenso.
Per l'imposizione delle regole, viene applicata l'ultima scrittura all'oggetto Criteri di gruppo.