グループ ポリシーでの AppLocker 規則と実施設定の継承について
IT 担当者向けのこの記事では、AppLocker で構成されたアプリケーション制御ポリシーをグループ ポリシーによって適用する方法について説明します。
ルールの適用は、個々のルールではなく、ルールのコレクションにのみ適用されます。 ルール コレクションの詳細については、「 AppLocker ルール コレクション」を参照してください。
グループ ポリシーは、次の 2 つの方法で AppLocker ポリシーをマージします。
準則。 グループ ポリシーは、リンクされたグループ ポリシー オブジェクト (GPO) に既に存在するルールを上書きしたり置き換えたりしません。 たとえば、現在の GPO に 12 個の規則があり、リンクされた GPO に 50 個の規則がある場合、62 個の規則が適用されます。
重要
ファイルの実行が許可されているかどうかを判断する場合、AppLocker は次の順序でルールを処理します。
- 明示的な拒否。 管理者が、ファイルを拒否するルールを作成しました。
- 明示的な許可。 管理者が、ファイルを許可するルールを作成しました。
- 暗黙的な拒否。 許可規則でカバーされていないすべてのファイルはブロックされます。
適用設定。 ポリシーへの最後の書き込みが適用されます。 たとえば、上位レベルの GPO の適用設定が [規則の適用 ] に構成されていて、最も近い GPO で [ 監査のみ] に構成されている場合、 監査のみが 適用されます。 適用モードが最も近い GPO で構成されていない場合は、最も近いリンクされた GPO の設定が適用されます。 コンピューターの有効なポリシーには、リンクされた各 GPO の規則が含まれているため、重複する規則または競合する規則がユーザーのコンピューターに適用される可能性があります。 そのため、GPO に必要なルールのみが存在するように、展開を慎重に計画する必要があります。
次の図は、リンクされた GPO を介して AppLocker ルールの適用がどのように適用されるかを示しています。
前の図では、Contoso にリンクされているすべての GPO が、構成どおりに順に適用されます。 構成されていないルールも適用されます。 たとえば、Contoso および人事 GPO の結果は、クライアント HR-Term1 に示すように 33 ルールが適用されます。 人事 GPO には、適用モードの設定が "未構成" である 10 個の規則が含まれています。規則コレクションが 監査専用に構成されている場合、規則は適用されません。
AppLocker ポリシーを適用するためのグループ ポリシー アーキテクチャを構築する場合は、次の点に注意してください。
- 適用モードが "未構成" に設定されているルール コレクションが適用されます。
- グループ ポリシーは、リンクされた GPO に既に存在するルールを上書きしたり置き換えたりしません。
- AppLocker 拒否規則は、常に許可規則よりも優先されます。
- 規則の適用では、GPO への最後の書き込みが適用されます。