Informazioni sull'ereditarietà delle regole di AppLocker e delle impostazioni di imposizione in Criteri di gruppo

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Questo articolo per il professionista IT descrive come vengono applicati i criteri di controllo delle applicazioni configurati in AppLocker tramite Criteri di gruppo.

L'imposizione delle regole viene applicata solo alle raccolte di regole, non alle singole regole. Per altre informazioni sulle raccolte di regole, vedi Raccolte di regole di AppLocker.

Criteri di gruppo unisce i criteri di AppLocker in due modi:

• Regole. Criteri di gruppo non sovrascrive né sostituisce le regole già presenti in un oggetto Criteri di gruppo collegato. Ad esempio, se l'oggetto Criteri di gruppo corrente ha 12 regole e un oggetto Criteri di gruppo collegato ha 50 regole, vengono applicate 62 regole.

  Importante

  Quando si determina se un file può essere eseguito, AppLocker elabora le regole nell'ordine seguente:

  1. Negazione esplicita. Un amministratore ha creato una regola per negare un file.
  2. Consenti esplicito. Un amministratore ha creato una regola per consentire un file.
  3. Rifiuto implicito. Tutti i file non coperti da una regola di autorizzazione sono bloccati.

• Impostazioni di imposizione. Viene applicata l'ultima scrittura ai criteri. Ad esempio, se un oggetto Criteri di gruppo di livello superiore ha l'impostazione di imposizione configurata per Applicare le regole e l'oggetto Criteri di gruppo più vicino ha l'impostazione configurata solo su Controllo, viene applicata solo l'opzione Controlla . Se la modalità di imposizione non è configurata nell'oggetto Criteri di gruppo più vicino, viene applicata l'impostazione dell'oggetto Criteri di gruppo collegato più vicino. Poiché i criteri effettivi di un computer includono regole di ogni oggetto Criteri di gruppo collegato, è possibile applicare regole duplicate o in conflitto nel computer di un utente. È pertanto consigliabile pianificare attentamente la distribuzione per assicurarsi che in un oggetto Criteri di gruppo siano presenti solo le regole necessarie.

La figura seguente illustra come l'imposizione delle regole di AppLocker viene applicata tramite oggetti Criteri di gruppo collegati.

Nella figura precedente, tutti gli oggetti Criteri di gruppo collegati a Contoso vengono applicati nell'ordine configurato. Vengono applicate anche le regole non configurate. Ad esempio, il risultato degli oggetti Criteri di gruppo Contoso e Risorse umane è 33 regole applicate, come illustrato nel client HR-Term1. L'oggetto Criteri di gruppo Risorse umane contiene 10 regole in cui l'impostazione della modalità di imposizione è "non configurata". Quando la raccolta di regole è configurata solo per Audit, non vengono applicate regole.

Quando si costruisce l'architettura Criteri di gruppo per l'applicazione dei criteri di AppLocker, è importante ricordare:

• Viene applicata qualsiasi raccolta di regole con la modalità di imposizione impostata come "non configurata".
• Criteri di gruppo non sovrascrive né sostituisce le regole già presenti in un oggetto Criteri di gruppo collegato.
• Le regole di negazione di AppLocker hanno sempre la precedenza su tutte le regole di autorizzazione.
• Per l'imposizione delle regole, viene applicata l'ultima scrittura nell'oggetto Criteri di gruppo.