Tôi đang cố tạo quy tắc chặn ứng dụng động bằng AppLocker. Thiết lập là tôi đã xác định trước các quy tắc AppLocker (ví dụ: Cho phép nhóm người dùng windows 'Chrome' truy cập 'chrome.exe' (không phải tên nhóm thực tế hoặc đường dẫn thực tế)) rồi chỉ định người dùng cho các nhóm khi đăng nhập với sự trợ giúp của dịch vụ Windows.
Lúc đầu, điều đó hoạt động tốt, nhưng sau một thời gian, nó dừng lại (Bản thân AppLocker đã hoạt động, nhưng các quy tắc cụ thể của nhóm người dùng không được áp dụng--nói cách khác, mọi thứ đã bị chặn). Tôi đã kiểm tra tất cả các chính sách được kết hợp thông qua lệnh PowerShell và theo chúng, người dùng thuộc nhóm người dùng Trình duyệt Chrome nên được phép truy cập chrome.exe, nhưng trên thực tế, tôi nhận được lời nhắc bị chặn ứng dụng.
Sau đó, tôi đã thử tạo quy tắc dành riêng cho người dùng để cho phép chrome.exe, hoạt động tốt và ngay sau khi tôi xóa nó (quy tắc nhóm vẫn tồn tại), tôi lại bị chặn. Hoặc thậm chí chỉ cần thay đổi chính sách nhóm người dùng hiện có để trỏ đến người dùng cụ thể đã khiến nó hoạt động và sau đó thay đổi lại để trỏ đến nhóm người dùng không hoạt động trở lại.
Phần thú vị - sau một vài lần VM khởi động lại, nó hoạt động trở lại và sau đó vào ngày hôm sau khi tôi muốn giới thiệu nó cho một đồng nghiệp, tôi lại gặp vấn đề tương tự, vấn đề này một lần nữa đã được giải quyết bằng nhiều lần khởi động lại VM.
Một vấn đề rõ ràng có thể xảy ra là 'người dùng có thực sự thuộc về nhóm không?' và câu trả lời là có: mỗi khi chính sách không hiệu quả, tôi sẽ tham gia lusrmgr và xác minh điều đó.
Đối với bối cảnh bổ sung - VM được lưu trữ trên Azure, chạy Windows 10 đa phiên 21H1, AppLocker được thiết lập ở cấp độ máy cục bộ (không có chính sách toàn miền hoặc bất kỳ thứ gì tương tự như vậy).
