Нужна помощь с базовой настройкой AppLocker

Я работаю над реализацией AppLocker, но у меня возникли некоторые проблемы с его включением. У меня есть одно подразделение с одним сервером и одним связанным GPO. В этом объекте групповой политики включены только следующие параметры AppLocker:

• Для всех правил установлено ТОЛЬКО ПРОВЕРКА
• Правила для исполняемых файлов по умолчанию
• Одно настраиваемое правило, которое позволяет КАЖДОЙ группе запускать что угодно где угодно (правило пути, *)

Я делаю gpupdate на своей тестовой рабочей станции, а затем gpresult /HC:\file.html. Я проверяю файл и вижу, что мой тестовый объект групповой политики был применен, и углубляюсь в группы, чтобы найти примененные мои правила (я не вижу других правил для управления приложениями из других объектов групповой политики). Я включаю службу идентификации приложения и обнаруживаю, что не могу ничего запустить из любого места, даже если щелкну правой кнопкой мыши и выберу "Запуск от имени администратора".

Что мне здесь не хватает? Четыре правила (три по умолчанию, одно пользовательское) должны позволять запускать все что угодно из любой точки системы. Тот факт, что установлен ТОЛЬКО ПРОВЕРКА, должен только регистрировать этот материал в журнале событий, а не ограничивать использование. Ничего из этого не происходит.

РЕДАКТИРОВАТЬ: Я проверяю файл и вижу, что мой тестовый объект групповой политики был применен, и углубляюсь в группы, чтобы найти примененные мои правила (я не вижу других правил для управления приложениями из других объектов групповой политики). Я включаю службу идентификации приложения и обнаруживаю, что не могу ничего запустить из любого места, даже если щелкну правой кнопкой мыши и выберу "Запуск от имени администратора".

Что мне здесь не хватает? Четыре правила (три по умолчанию, одно пользовательское) должны позволять запускать все что угодно из любой точки системы. Тот факт, что установлен ТОЛЬКО АУДИТ, должен только регистрировать этот материал в журнале событий, а не ограничивать использование. Ничего из этого не происходит.

РЕДАКТИРОВАТЬ: Я проверяю файл и вижу, что мой тестовый объект групповой политики был применен, и углубляюсь в группы, чтобы найти примененные мои правила (я не вижу других правил для управления приложениями из других объектов групповой политики). Я включаю службу идентификации приложения и обнаруживаю, что не могу ничего запустить из любого места, даже если щелкну правой кнопкой мыши и выберу "Запуск от имени администратора".

Что мне здесь не хватает? Четыре правила (три по умолчанию, одно пользовательское) должны позволять запускать что угодно кому угодно из любой точки системы. Тот факт, что установлен ТОЛЬКО АУДИТ, должен только регистрировать этот материал в журнале событий, а не ограничивать использование. Ничего из этого не происходит.

РЕДАКТИРОВАТЬ:

Что мне здесь не хватает? Четыре правила (три по умолчанию, одно пользовательское) должны позволять запускать все что угодно из любой точки системы. Тот факт, что установлен ТОЛЬКО ПРОВЕРКА, должен только регистрировать этот материал в журнале событий, а не ограничивать использование. Ничего из этого не происходит.

РЕДАКТИРОВАТЬ:

Что мне здесь не хватает? Четыре правила (три по умолчанию, одно пользовательское) должны позволять запускать что угодно кому угодно из любой точки системы. Тот факт, что установлен ТОЛЬКО ПРОВЕРКА, должен только регистрировать этот материал в журнале событий, а не ограничивать использование. Ничего из этого не происходит.

РЕДАКТИРОВАТЬ: Я в недоумении. Я выполнил следующую команду ...

Get-ChildItem 'C:\' -Recurse | ? {$_.Name -like '*.exe'} | ForEach-Object{ Get-AppLockerPolicy -Effective | Test-AppLockerPolicy -Path $_.FullName -User (domain\admin | domain\user | visitor) | Format-List -Property FilePath,PolicyDecision}

... со слегка измененными правилами по умолчанию (целевая группа; Все> Прошедшие проверку) на месте (AuthenticatedUsers:% PROGRAMFILES% *, AuthenticatedUsers:% / WINDOWS% *, BUILTIN \ Administrators: *) ...

... и результаты показывают, что

• Как я (администратор домена), РАЗРЕШЕНА политическое решение для каждого исполняемого файла.
• Как посетитель (наша переименованная гостевая учетная запись), политическое решение для каждого исполняемого файла ОТКАЗАНО ПО УМОЛЧАНИЮ.
• Как пользователь домена (локальная группа: пользователи RDP), решение политики для каждого исполняемого файла зависит от местоположения; Программные файлы: разрешены, C: \ WinDirStat \ WinDirStat.exe: по умолчанию запрещены, Windows: разрешены.

Однако, когда я включаю службу идентификации приложения, я m может запускать файлы в любом месте ОС в качестве обычного пользователя домена, тогда как я могу запускать только exe-файлы из программных файлов и Windows. Я не могу использовать нашу гостевую учетную запись для тестирования функциональности, но я могу представить, что она дает тот же результат, что и обычный пользователь домена. Администратор домена, похоже, работает должным образом (выполняет что угодно и где угодно в системе).