Share via

Общие сведения об исключениях из правил AppLocker

В этой статье описывается результат применения исключений правил AppLocker к коллекциям правил.

Правила AppLocker можно применять к отдельным пользователям или группе пользователей. Если правило применяется к группе пользователей, оно затрагивает всех пользователей в этой группе. Если необходимо разрешить использовать приложение для подмножества группы пользователей, следует создать для этого подмножества отдельное правило.

Например, правило "Разрешить всем запускать Windows, кроме Редактор реестра", позволяет всем запускать двоичные файлы Windows, но не позволяет никому запускать Редактор реестра (путем добавления %WINDIR%\regedit.exe в качестве исключения пути для правила).
Действие этого правила не позволит пользователям, таким как сотрудник службы технической поддержки, запускать Редактор реестра, программу, необходимую для выполнения задач поддержки.
Чтобы устранить эту проблему, создайте второе правило, которое применяется к группе пользователей службы поддержки: "Разрешить helpdesk запускать Редактор реестра" и добавьте %WINDIR%\regedit.exe в качестве разрешенного пути. При создании правила запрета, которое блокирует Редактор реестра для всех пользователей, правило запрета переопределяет второе правило, которое позволяет группе пользователей службы технической поддержки запускать Редактор реестра.