Freigeben über

Grundlegendes zu AppLocker-Erzwingungseinstellungen

  • Artikel

In diesem Thema werden die AppLocker-Erzwingungseinstellungen für Regelsammlungen beschrieben.

Die Regelerzwingung wird nur auf eine Regelsammlung, nicht aber auf einzelne Regeln angewendet. AppLocker teilt die Regeln in vier Sammlungen auf: ausführbare Dateien, Windows Installer-Dateien, Skripts und DLL-Dateien. Weitere Informationen zu Regelsammlungen finden Sie unter Grundlegendes zu AppLocker-Regelsammlungen. Wenn die Erzwingung nicht konfiguriert ist und Regeln in einer Regelsammlung vorhanden sind, werden diese Regeln standardmäßig erzwungen. In der folgenden Tabelle werden die drei AppLocker-Einstellungen zur Regelerzwingung in der Gruppenrichtlinie für jede Regelsammlung beschrieben.

Erzwingungseinstellung Beschreibung

Nicht konfiguriert

Die Erzwingung ist in einer Regelsammlung standardmäßig nicht konfiguriert. Wenn die entsprechende Regelsammlung Regeln enthält, werden sie erzwungen. Wenn die Regelerzwingung in einem verknüpften Gruppenrichtlinienobjekt (Group Policy Object, GPO) auf höherer Ebene konfiguriert ist, wird der Wert Nicht konfiguriert durch den Erzwingungswert überschrieben.

Regeln erzwingen

Regeln werden für die Regelsammlung erzwungen, und alle Regelereignisse werden überwacht.

Nur überwachen

Regelereignisse werden nur überwacht. Verwenden Sie diesen Wert beim Planen und Testen von AppLocker-Regeln.

 

Damit die AppLocker-Richtlinie auf einem Gerät erzwungen wird, muss der Dienst „Anwendungsidentität“ ausgeführt werden. Weitere Infos zum Dienst „Anwendungsidentität“ finden Sie unter Konfigurieren des Diensts „Anwendungsidentität“.

Wenn AppLocker-Richtlinien verschiedener GPOs zusammengeführt werden, werden die Erzwingungsmodi anhand der Vererbungsreihenfolge der Standardgruppenrichtlinie zusammengeführt, die wie folgt lautet: lokal, Domäne, Standort und Organisationseinheit (OE). Die Gruppenrichtlinieneinstellung, die gemäß der Vererbungsreihenfolge zuletzt geschrieben oder angewendet wurde, wird für den Erzwingungsmodus verwendet, und alle Regeln verknüpfter GPOs werden angewendet.