次の方法で共有

グループ ポリシーでの AppLocker 規則と実施設定の継承について

IT 担当者向けのこの記事では、AppLocker で構成されたアプリケーション制御ポリシーをグループ ポリシーによって適用する方法について説明します。

ルールの適用は、個々のルールではなく、ルールのコレクションにのみ適用されます。 ルール コレクションの詳細については、「 AppLocker ルール コレクション」を参照してください。

グループ ポリシーは、次の 2 つの方法で AppLocker ポリシーをマージします。

  • ルール。 グループ ポリシーは、リンクされたグループ ポリシー オブジェクト (GPO) に既に存在するルールを上書きしたり置き換えたりしません。 たとえば、現在の GPO に 12 個の規則があり、リンクされた GPO に 50 個の規則がある場合、62 個の規則が適用されます。

    重要

    ファイルの実行が許可されているかどうかを判断する場合、AppLocker は次の順序でルールを処理します。

    1. 明示的な拒否。 管理者が、ファイルを拒否するルールを作成しました。
    2. 明示的な許可。 管理者が、ファイルを許可するルールを作成しました。
    3. 暗黙的な拒否。 許可規則でカバーされていないすべてのファイルはブロックされます。

  • 適用設定。 ポリシーへの最後の書き込みが適用されます。 たとえば、上位レベルの GPO の適用設定が [規則の適用 ] に構成されていて、最も近い GPO で [ 監査のみ] に構成されている場合、 監査のみが 適用されます。 適用モードが最も近い GPO で構成されていない場合は、最も近いリンクされた GPO の設定が適用されます。 コンピューターの有効なポリシーには、リンクされた各 GPO の規則が含まれているため、重複する規則または競合する規則がユーザーのコンピューターに適用される可能性があります。 そのため、GPO に必要なルールのみが存在するように、展開を慎重に計画する必要があります。

次の図は、リンクされた GPO を介して AppLocker ルールの適用がどのように適用されるかを示しています。

applocker 規則の適用の継承グラフ。

前の図では、Contoso にリンクされているすべての GPO が、構成どおりに順に適用されます。 構成されていないルールも適用されます。 たとえば、Contoso および人事 GPO の結果は、クライアント HR-Term1 に示すように 33 ルールが適用されます。 人事 GPO には、適用モードの設定が "未構成" である 10 個の規則が含まれています。規則コレクションが 監査専用に構成されている場合、規則は適用されません。

AppLocker ポリシーを適用するためのグループ ポリシー アーキテクチャを構築する場合は、次の点に注意してください。

  • 適用モードが "未構成" に設定されているルール コレクションが適用されます。
  • グループ ポリシーは、リンクされた GPO に既に存在するルールを上書きしたり置き換えたりしません。
  • AppLocker 拒否規則は、常に許可規則よりも優先されます。
  • 規則の適用では、GPO への最後の書き込みが適用されます。