Grundlegendes zu AppLocker-Regeln und zur Erzwingungseinstellungsvererbung in „Gruppenrichtlinie“

In diesem Artikel für IT-Experten wird beschrieben, wie in AppLocker konfigurierte Anwendungssteuerungsrichtlinien über Gruppenrichtlinie angewendet werden.

Die Regelerzwingung wird nur auf Auflistungen von Regeln angewendet, nicht auf einzelne Regeln. Weitere Informationen zu Regelsammlungen finden Sie unter AppLocker-Regelsammlungen.

Gruppenrichtlinie führt die AppLocker-Richtlinie auf zwei Arten zusammen:

  • Regeln. Gruppenrichtlinie überschreibt oder ersetzt keine Regeln, die bereits in einem verknüpften Gruppenrichtlinie Object (GPO) vorhanden sind. Wenn das aktuelle Gruppenrichtlinienobjekt beispielsweise 12 Regeln und ein verknüpftes Gruppenrichtlinienobjekt über 50 Regeln verfügt, werden 62 Regeln angewendet.

    Wichtig

    Bei der Bestimmung, ob eine Datei ausgeführt werden darf, verarbeitet AppLocker Regeln in der folgenden Reihenfolge:

    1. Explizite Ablehnung. Ein Administrator hat eine Regel erstellt, um eine Datei zu verweigern.
    2. Explizites Zulassen. Ein Administrator hat eine Regel erstellt, um eine Datei zuzulassen.
    3. Implizite Ablehnung. Alle Dateien, die nicht von einer Zulassungsregel abgedeckt werden, werden blockiert.

  • Erzwingungseinstellungen. Der letzte Schreibvorgang in die Richtlinie wird angewendet. Wenn z. B. für ein übergeordnetes Gruppenrichtlinienobjekt die Erzwingungseinstellung Regeln erzwingen konfiguriert ist und für das nächstgelegene Gruppenrichtlinienobjekt die Einstellung Nur Überwachen konfiguriert ist, wird nur überwachen erzwungen. Wenn der Erzwingungsmodus nicht für das nächstgelegene Gruppenrichtlinienobjekt konfiguriert ist, wird die Einstellung aus dem nächstgelegenen verknüpften Gruppenrichtlinienobjekt erzwungen. Da die effektive Richtlinie eines Computers Regeln aus jedem verknüpften Gruppenrichtlinienobjekt enthält, können doppelte Regeln oder in Konflikt stehende Regeln auf dem Computer eines Benutzers erzwungen werden. Daher sollten Sie Ihre Bereitstellung sorgfältig planen, um sicherzustellen, dass nur die erforderlichen Regeln in einem Gruppenrichtlinienobjekt vorhanden sind.

Die folgende Abbildung zeigt, wie die AppLocker-Regelerzwingung über verknüpfte Gruppenrichtlinienobjekte angewendet wird.

AppLocker-Regelerzwingungsdiagramm.

In der obigen Abbildung werden alle gruppenrichtlinienobjekte, die mit Contoso verknüpft sind, entsprechend der Konfiguration angewendet. Die regeln, die nicht konfiguriert sind, werden ebenfalls angewendet. Das Ergebnis der Gruppenrichtlinienobjekte Contoso und Human Resources sind beispielsweise 33 Erzwungene Regeln, wie im Client HR-Term1 gezeigt. Das Human Resources-Gruppenrichtlinienobjekt enthält 10 Regeln, bei denen die Einstellung für den Erzwingungsmodus "nicht konfiguriert" ist. Wenn die Regelsammlung nur für Überwachung konfiguriert ist, werden keine Regeln erzwungen.

Beim Erstellen der Gruppenrichtlinie Architektur zum Anwenden von AppLocker-Richtlinien ist folgendes zu beachten:

  • Jede Regelsammlung, bei der der Erzwingungsmodus als "nicht konfiguriert" festgelegt ist, wird erzwungen.
  • Gruppenrichtlinie überschreibt oder ersetzt keine Regeln, die bereits in einem verknüpften Gruppenrichtlinienobjekt vorhanden sind.
  • AppLocker-Ablehnungsregeln haben immer Vorrang vor allen Zulassungsregeln.
  • Für die Regelerzwingung wird der letzte Schreibvorgang in das Gruppenrichtlinienobjekt angewendet.