一切都说Applocker应该工作：为什么不呢？

我已经设置了一个由默认的Applocker规则组成的基本组策略。根据微软关于这个主题的technet文章，任何没有明确允许策略运行的文件都应该被阻止运行。在部署这个策略并validation它被应用到使用gpresult的正确用户后，我仍然能够从互联网上下载和运行一个exe文件，这个exe文件被保存到用户configuration文件的临时文件夹中。正是在这一点上，我做了更多的Googlesearch，看到App Identity服务必须运行，而不是：所以，就像任何一个好的pipe理员一样，我启动了它，将其设置为自动，并重新启动以防万一。重新启动后，该政策仍然无效。以下是当前政策的截图。

在这里输入图像描述

我明确添加了拒绝规则，因为默认规则不起作用。我正确地将策略应用到机器上，并validation规则是否被强制执行（在屏幕截图中是这样说的）。我使用了Test-AppLockerPolicy cmdlet来validation规则是否应该阻止EXE和MSI运行，但是不是。开放给大多数的build议，不pipe他们听起来多么可笑。

更新

忘了补充一点，我在这整个惨败中检查了AppLocker的事件日志，它是空白的。整个时间没有一个单一的条目。

如果你的path块没有被正确定义，那么这将解释你的情况。

例如，如果您要使用％userprofile％环境variables。只有通过GPO / AppLocker可用的环境variables的一个子集，这不是其中之一。

我已经成功地遵循以下path规则：

 %osdrive%\users\*

这是一个古老的线程，但是当我们在自己的networking上实现AppLocker时遇到了这个问题。

AppLocker需要使用应用程序标识服务，该服务在Win7 / Server 2008 R2的默认安装中设置为手动。您必须将“应用程序标识”服务设置为“自动启动”，否则不会强制实施规则。您可以使用定义AppLocker规则的组策略对象执行此操作。