了解群組原則中的 AppLocker 規則和強制執行設定繼承

• 適用於:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

本文適用於 IT 專業人員，說明如何透過 群組原則 套用 AppLocker 中設定的應用程控原則。

規則強制執行只會套用至規則集合，而不會套用至個別規則。 如需規則集合的詳細資訊，請參閱 AppLocker 規則集合。

群組原則 以兩種方式合併 AppLocker 原則：

• 規則。 群組原則 不會覆寫或取代已存在於連結 群組原則 物件 (GPO) 中的規則。 例如，如果目前的 GPO 有 12 個規則，而連結的 GPO 有 50 個規則，則會套用 62 個規則。

  重要

  判斷是否允許檔案執行時，AppLocker 會以下列順序處理規則：

  1. 明確拒絕。 系統管理員已建立規則來拒絕檔案。
  2. 明確允許。 系統管理員已建立規則以允許檔案。
  3. 隱含拒絕。 允許規則未涵蓋的所有檔案都會遭到封鎖。

• 強制設定。 套用最後一次寫入原則。 例如，如果較高層級的 GPO 已將強制執行設定設定為 [強制執行 規則 ]，且最接近的 GPO 設定為 [僅稽核]， 則只會強制執行稽核 。 如果未在最接近的 GPO 上設定強制模式，則會強制執行來自最接近連結 GPO 的設定。 因為計算機的有效原則包含來自每個連結 GPO 的規則，所以可能會在使用者的電腦上強制執行重複的規則或衝突的規則。 因此，您應該仔細規劃部署，以確保 GPO 中只會出現必要的規則。

下圖示範如何透過連結的 GPO 套用 AppLocker 規則強制執行。

在上圖中，所有連結至 Contoso 的 GPO 都會依設定順序套用。 也會套用未設定的規則。 例如，Contoso 和人力資源 GPO 的結果會強制執行 33 個規則，如用戶端 HR-Term1 中所示。 人力資源 GPO 包含 10 個規則，其中強制模式設定「未設定」。當規則集合 設定為僅稽核時，不會強制執行任何規則。

建構套用 AppLocker 原則的 群組原則 架構時，請務必記住：

• 強制執行模式設定為「未設定」的任何規則集合都會強制執行。
• 群組原則 不會覆寫或取代已存在於連結 GPO 中的規則。
• AppLocker 拒絕規則一律優先於任何允許規則。
• 若要強制執行規則，會套用最後一次寫入 GPO。