Freigeben über

Grundlegendes zu AppLocker-Regeln und zur Erzwingungseinstellungsvererbung in „Gruppenrichtlinie“

  • Artikel

In diesem Thema für IT-Experten wird beschrieben, wie die in AppLocker konfigurierten Anwendungssteuerungsrichtlinien über die Gruppenrichtlinie angewendet werden.

Die Regelerzwingung wird nur auf Regelsammlungen, nicht aber auf einzelne Regeln angewendet. AppLocker unterteilt die Regeln in die folgenden Sammlungen: ausführbare Dateien, Windows Installer-Dateien, Skripts, App-Pakete und App-Paket-Installer sowie DLL-Dateien. Die Optionen für die Regelerzwingung sind Nicht konfiguriert, Regeln erzwingen oder Nur überwachen. Zusammen ergeben alle AppLocker-Regelsammlungen die Anwendungssteuerungs- oder AppLocker-Richtlinie.

Die Gruppenrichtlinie führt die AppLocker-Richtlinie auf zwei Weisen zusammen:

  • Regeln. Regeln in einem verknüpften Gruppenrichtlinienobjekt (GPO) werden von der Gruppenrichtlinie nicht überschrieben oder ersetzt. Wenn das aktuelle GPO beispielsweise 12 Regeln und ein verknüpftes GPO 50 Regeln enthält, werden 62 Regeln auf alle Computer angewendet, die die AppLocker-Richtlinie erhalten.

    Wichtig  

    Bei der Entscheidung, ob eine Datei ausgeführt werden darf, verarbeitet AppLocker Regeln in der folgenden Reihenfolge:

    1. Explizites Verweigern. Ein Administrator hat eine Regel zum Verweigern einer Datei erstellt.

    2. Explizites Zulassen. Ein Administrator hat eine Regel zum Zulassen einer Datei erstellt.

    3. Implizites Verweigern. Wird auch als Standardverweigerung bezeichnet, weil alle Regeln, die nicht unter eine Zulassungsregel fallen, automatisch blockiert werden.

     

  • Erzwingungseinstellungen. Der letzte Schreibzugriff auf die Richtlinie wird angewendet. Wenn die Erzwingungseinstellung für ein GPO höherer Ebene beispielsweise mit Regeln erzwingen konfiguriert ist und die Einstellung des nächstgelegenen GPOs Nur überwachen lautet, wird die Verwendung von Nur überwachen erzwungen. Wenn die Erzwingung nicht für das nächstgelegene GPO konfiguriert ist, wird die Einstellung vom nächstgelegenen verknüpften GPO erzwungen.

Da die effektive Richtlinie eines Computers Regeln von jedem verknüpften GPO enthält, könnten doppelte oder widersprüchliche Regeln für einen Benutzercomputer erzwungen werden. Aus diesem Grund sollte die Bereitstellung sorgfältig geplant werden, um sicherzustellen, dass nur erforderliche Regeln in einem GPO enthalten sind.

Die folgende Abbildung veranschaulicht, wie die Erzwingung der AppLocker-Regel über verknüpfte GPOs angewendet wird.

Diagramm zur Vererbung der AppLocker-Regelerzwingung

In der vorangehenden Abbildung werden alle mit Contoso verknüpften GPOs in der konfigurierten Reihenfolge angewendet. Nicht konfigurierte Regeln werden ebenfalls angewendet. Die GPOs von Contoso und Human Resources ergeben 33 erzwungene Regeln wie im Client HR-Term1 dargestellt. Das GPO „Human Resources“ enthält 10 nicht konfigurierte Regeln. Wenn die Regelsammlung auf Nur überwachen festgelegt ist, werden keine Regeln erzwungen.

Beim Erstellen der Gruppenrichtlinien-Architektur zum Anwenden von AppLocker-Richtlinien ist Folgendes zu beachten:

  • Nicht konfigurierte Regelsammlungen werden erzwungen.

  • Von der Gruppenrichtlinie werden keine Regeln überschrieben oder ersetzt, die in einem verknüpften GPO bereits vorhanden sind.

  • AppLocker verarbeitet die Regelkonfiguration „Explizites Verweigern“ vor der Konfiguration der Zulassungsregel.

  • Bei der Erzwingung der Regel wird der letzte Schreibzugriff auf das GPO angewendet.