AppLocker 規則の例外について

この記事では、AppLocker 規則の例外を規則コレクションに適用した結果について説明します。

AppLocker ルールは、個々のユーザーまたはユーザーのグループに適用できます。 ユーザーのグループにルールを適用すると、そのグループ内のすべてのユーザーにルールが影響します。 ユーザー グループのサブセットにアプリの使用を許可する必要がある場合は、そのサブセットの特別なルールを作成できます。

たとえば、"レジストリ エディターを除くすべてのユーザーに Windows の実行を許可する" というルールでは、すべてのユーザーが Windows バイナリを実行できますが、(ルールのパス例外として %WINDIR%\regedit.exe を追加することで) レジストリ エディターを実行することはできません。
この規則の効果により、ヘルプデスク担当者などのユーザーが、サポート タスクに必要なプログラムであるレジストリ エディターを実行できなくなります。
この問題を解決するには、ヘルプデスク ユーザー グループに適用される 2 つ目のルールを作成します。"ヘルプデスクにレジストリ エディターの実行を許可する" と、許可されたパスとして %WINDIR%\regedit.exe を追加します。 すべてのユーザーのレジストリエディターをブロックする拒否ルールを作成した場合、拒否ルールは、ヘルプデスク ユーザー グループがレジストリ エディターを実行できるようにする 2 つ目のルールをオーバーライドします。