グループ ポリシーでの AppLocker 規則と実施設定の継承について

IT 担当者向けのこのトピックでは、AppLocker で構成されたアプリケーション制御ポリシーが、グループ ポリシーを介してどのように適用されるかを説明します。

規則の実施は、規則のコレクションにのみ適用されます。個別の規則には適用されません。AppLocker の規則は、実行可能ファイル、Windows インストーラー ファイル、スクリプト、パッケージ アプリとパッケージ アプリのインストーラー、DLL ファイルの各コレクションに分けられます。規則を実施するときは、[未構成]、[規則の実施]、[監査のみ] のいずれかのオプションを指定できます。アプリケーション制御ポリシー、つまり AppLocker ポリシーは、この AppLocker 規則のすべてのコレクションを組み合わせて作成します。

グループ ポリシーでは、AppLocker ポリシーを次の 2 つの方法でマージします。

• 規則。リンクされたグループ ポリシー オブジェクト (GPO) の既存の規則が、グループ ポリシーによって上書きまたは置換されません。たとえば、現在の GPO に 12 個の規則があり、リンクされた GPO に 50 個の規則がある場合、AppLocker ポリシーを受け取るすべてのコンピューターに 62 個の規則が適用されます。

  重要  

  AppLocker は次の順序で規則を処理して、ファイルの実行を許可するかどうかを判断します。

  1. 明示的に拒否。ファイルを拒否する規則を管理者が作成しました。

  2. 明示的に許可。ファイルを許可する規則を管理者が作成しました。

  3. 暗黙的に拒否。許可規則の影響を受けないファイルはすべて自動的にブロックされるため、"既定の拒否" とも呼ばれます。

   

• 実施設定。ポリシーに対する最後の書き込みが適用されます。たとえば、上位レベルの GPO の実施設定が規則を実施するように構成され、直近の GPO の設定が監査のみを行うように構成されている場合、監査のみが実施されます。直近の GPO に実施が構成されていない場合は、リンクされた直近の GPO の設定が実施されます。

コンピューターの有効なポリシーには、リンクされた各 GPO の規則が含まれているため、重複または競合する規則がユーザーのコンピューターで実施されることがあります。このため、必要な規則のみが GPO に存在するように、慎重に展開を計画する必要があります。

次の図は、リンクされた GPO を介して AppLocker 規則の実施を適用する方法を示しています。

前の図では、Contoso にリンクされているすべての GPO が、構成順に適用されます。また、構成されていない規則も適用されます。たとえば、クライアント HR Term1 に示すように、Contoso GPO と人事 GPO では 33 個の規則が実施されます。人事 GPO には、構成されていない規則が 10 個含まれています。規則のコレクションが [監査のみ] に対して構成されている場合、規則は実施されません。

AppLocker ポリシーを適用するためのグループ ポリシー アーキテクチャを構築するときは、次の点に注意してください。

• 構成されていない規則のコレクションが実施されます。

• リンクされた GPO の既存の規則は、グループ ポリシーによって上書きまたは置換されません。

• AppLocker は、許可規則の構成の前に、明示的な拒否規則の構成を処理します。

• 規則の実施については、GPO に対する最後の書き込みが適用されます。