Я создал тестовую среду, чтобы изучить активное администрирование каталогов. Я использую Windows Server 2016 в качестве контроллера домена и Windows 8.1 Pro в качестве компьютера домена. Я создал пользователя домена User1.
Создал OU под названием TestOU и поместил в него пользователя домена User1.
Я отредактировал политику домена по умолчанию и добавил новое правило Applocker, которое запрещает установку замазки на ПК домена (с использованием хеширования файлов). Вот правила: https://image.ibb.co/cbSf8H/applocker.png
Я вхожу в систему как пользователь домена на компьютере домена. Запустите службу идентификации приложений и введите команду gpupdate / force.
Но я все еще могу запустить установщик замазки на компьютере домена.
Что мне не хватает? Разве мы не можем использовать групповые политики блокировки приложений в Windows 8.1 / 10 Pro, применяемые Windows Server 2016, или мне нужна версия Windows 8.1 / 10 Enterprise для компьютера домена, или я что-то делаю не так?
AppLocker доступен только для выпусков Windows «Enterprise».
Вам нужна Windows 7 / 8.1 / 10 Предприятие использовать AppLocker.
Кроме того, вам не следует редактировать политику домена по умолчанию для принудительного применения AppLocker, вам следует создать отдельный объект групповой политики.