了解组策略中的 AppLocker 规则和强制设置继承

• 适用于:

  ✅ Windows 11, ✅ Windows 10

本文面向 IT 专业人员介绍如何通过组策略应用 AppLocker 中配置的应用程序控制策略。

规则强制仅应用于规则集合，而不适用于单个规则。 有关规则集合的详细信息，请参阅 AppLocker 规则集合。

组策略以两种方式合并 AppLocker 策略：

• 规则。 组策略不会覆盖或替换链接组策略对象 (GPO) 中已存在的规则。 例如，如果当前 GPO 有 12 个规则，链接的 GPO 有 50 个规则，则应用 62 个规则。

  重要提示

  在确定是否允许文件运行时，AppLocker 按以下顺序处理规则：

  1. 显式拒绝。 管理员创建了拒绝文件的规则。
  2. 显式允许。 管理员创建了允许文件的规则。
  3. 隐式拒绝。 阻止允许规则未涵盖的所有文件。

• 强制设置。 应用对策略的最后一次写入。 例如，如果较高级别的 GPO 的强制设置配置为 “强制实施规则” ，而最近的 GPO 具有配置为“ 仅审核”的设置，则仅强制实施 审核 。 如果未在最近的 GPO 上配置强制模式，则会强制实施最靠近链接 GPO 的设置。 由于计算机的有效策略包括每个链接 GPO 中的规则，因此可以在用户的计算机上强制实施重复规则或冲突规则。 因此，应仔细规划部署，以确保 GPO 中仅存在必要的规则。

下图演示了如何通过链接的 GPO 应用 AppLocker 规则强制实施。

在上图中，链接到 Contoso 的所有 GPO 都按配置的顺序应用。 还会应用未配置的规则。 例如，Contoso 和人力资源 GPO 的结果是强制实施 33 个规则，如客户端 HR-Term1 中所示。 人力资源 GPO 包含 10 个规则，其中“未配置”强制模式设置。当规则集合配置为 “仅审核”时，不会强制实施任何规则。

构建用于应用 AppLocker 策略的组策略体系结构时，请务必记住：

• 强制执行强制模式设置为“未配置”的任何规则集合。
• 组策略不会覆盖或替换链接 GPO 中已存在的规则。
• AppLocker 拒绝规则始终优先于任何允许规则。
• 对于规则强制实施，将应用对 GPO 的最后一次写入。