Share via

Общие сведения о правилах AppLocker и наследовании параметра принудительного применения в групповой политике

В этой статье для ИТ-специалистов описано, как политики управления приложениями, настроенные в AppLocker, применяются с помощью групповая политика.

Применение правил применяется только к коллекциям правил, а не к отдельным правилам. Дополнительные сведения о коллекциях правил см. в разделе Коллекции правил AppLocker.

групповая политика объединяет политику AppLocker двумя способами:

  • Правила. групповая политика не перезаписывает и не заменяет правила, которые уже присутствуют в связанном объекте групповая политика (GPO). Например, если текущий объект групповой политики содержит 12 правил, а связанный объект групповой политики содержит 50 правил, применяются 62 правила.

    Важно.

    При определении того, разрешен ли запуск файла, AppLocker обрабатывает правила в следующем порядке:

    1. Явное отрицать. Администратор создал правило для запрета файла.
    2. Явное разрешение. Администратор создал правило для разрешения файла.
    3. Неявное отрицать. Все файлы, не охваченные правилом разрешения, блокируются.

  • Параметры принудительного применения. Применяется последняя запись в политику. Например, если объект групповой политики более высокого уровня имеет параметр принудительного применения, настроенный для принудительного применения правил , а ближайший объект групповой политики имеет параметр Только аудит, применяется только аудит . Если режим принудительного применения не настроен для ближайшего объекта групповой политики, применяется параметр из ближайшего связанного объекта групповой политики. Так как действующая политика компьютера включает правила из каждого связанного объекта групповой политики, на компьютере пользователя могут применяться повторяющиеся правила или конфликтующие правила. Поэтому следует тщательно спланировать развертывание, чтобы в объекте групповой политики присутствовали только необходимые правила.

На следующем рисунке показано, как принудительное применение правил AppLocker применяется через связанные объекты групповой политики.

диаграмма наследования принудительного применения правил applocker.

На предыдущем рисунке все объекты групповой политики, связанные с Contoso, применяются в порядке настройки. Также применяются правила, которые не настроены. Например, результатом объектов групповой политики Contoso и Human Resources является применение 33 правил, как показано в клиентском HR-Term1. Объект групповой политики по персоналу содержит 10 правил, в которых параметр режима принудительного применения "не настроен". Если коллекция правил настроена только для аудита, правила не применяются.

При создании архитектуры групповая политика для применения политик AppLocker важно помнить следующее:

  • Принудительно применяется любая коллекция правил с режимом принудительного применения, заданным как "не настроенная".
  • групповая политика не перезаписывает и не заменяет правила, которые уже присутствуют в связанном объекте групповой политики.
  • Правила запрета AppLocker всегда имеют приоритет над любыми правилами разрешения.
  • Для принудительного применения правил применяется последняя запись в объект групповой политики.