,, indledningen, selv om applocker er langt bedre end software, begrænsning af politikker, der er nogle vigtige spørgsmål, som du skal være opmærksom på, før du skabe dit første applocker regel.denne artikel er disse spørgsmål.,, i min første artikel i denne serie, jeg forklarede, at microsoft - software begrænsning indført politikker i vinduer xp som en mulighed for, at de har kontrol over, hvor ansøgningerne brugere har mulighed for at løbe.som historien har vist, software begrænsning politikker har store mangler.med frigivelsen af windows 7, microsoft har forsøgt at afhjælpe disse mangler gennem en ny funktion kaldes applocker.,, kompatibilitet, selv om applocker er teknisk set en ny version af softwaren begrænsning politikker træk, applocker ikke er forenelig med software, begrænsning af politikker.hvis du i øjeblikket har software, begrænsning af de politikker, der er fastlagt i en gruppe politiske formål, disse politikker vil fortsætte med at arbejde, selv om du opgradere jeres organisation er pc 'er til windows 7.men hvis man definerer applocker politikker inden for samme gruppe politik objekt, som allerede indeholder din software begrænsning politikker, computere, der styrer windows 7 vil ignorere din software begrænsning politikker, og kun applocker politikker vil blive anvendt, og på den anden side, hvis en gruppe policy object indeholder både software begrænsning politikker og applocker politikker så computere, der styrer vinduer xp og vista vil ignorere applocker politikker og vil kun bruge softwaren begrænsning politikker.dette sker, fordi de applocker træk findes ikke i arv operativsystemer.,, begrænsninger, selv om applocker giver en stor forbedring i forhold til software begrænsning politikker, den har visse begrænsninger.den største begrænsning er, at hvis brugerne har administrative tilladelser på deres egne computere, så applocker let kan omgås., som microsoft typisk anbefaler, at man ikke giver brugerne administrative rettigheder, men i den virkelige verden gør det nogle gange er uundgåelig.der er trods alt nogle ansøgninger, der vil simpelthen ikke fungere korrekt, medmindre brugeren har fuld kontrol over systemet.,, hvis du ønsker at bruge applocker, men deres brugere har administrative tilladelser, så vil jeg anbefale, at tage lidt tid for at se, om der er nogen alternativer til at give brugerne fuld administrativ kontrol over deres computere.måske kan du give brugerne fuld kontrol over visse mapper uden egentlig at give dem fuldstændig blæst administrative tilladelser.denne fremgangsmåde er ikke altid arbejdet, fordi nogle ansøgninger kræver, at brugeren være i stand til at ændre det register eller andre dele af styresystemet.,, hvis brugerne kræver fuldstændig blæst administrative adgang til systemet, du kunne slippe af sted med at lukke de administrative redskaber.for eksempel, du vil være i stand til at skabe en regel om, at låse ting som registret redaktør eller vinduer powershell.hvis du forsøger at bruge denne tilgang, du skal passe på ikke at gøre artikel global rækkevidde.når alt kommer til alt, help desk personale vil sandsynligvis kræve adgang til de forskellige administrative værktøjer, så de kan løse problemer med brugerens maskiner.,, grundlæggende applocker strategier, selv om applocker støtter nogle af de samme typer regler, at software begrænsning politikker, de grundlæggende måde, som applocker fungerer, er lidt forskellig fra hvad du kan anvendes til.faktisk er det let at få dig ind i en masse ballade, hvis du forstår ikke den måde, som applocker fungerer.derfor anbefaler jeg dem at være meget opmærksomme på, hvad jeg vil fortælle dig, i denne afdeling, med henblik på at sikkert brug applocker, du må forstå, at microsoft 's grundlæggende filosofi bag applocker regler.denne filosofi er baseret på idéen om, at der er særlige anvendelser, som de anvender i deres organisation.der er derimod et næsten uendeligt antal ansøgninger, at organisationen ikke anvendelse.tænk ikke på disse ansøgninger i traditionel forstand, men snarere som en eksekverbar kode.f.eks. nogle af de former for "anmodninger", som du måske ikke har godkendt til anvendelse i din organisation kan omfatte ældre versioner af de ansøgninger, som de bruger, videospil, malware, peer netværk, software osv.,, min pointe er, at der er langt flere ansøgninger, at du ikke vil brugerne til at løbe, end der er ansøgninger, at brugerne skal anvende.derfor er det meget lettere at give vinduer med en whitelist af godkendte ansøgninger, end det er at blokere for hver enkelt ansøgning, at de ønsker at hindre i at løbe.det er filosofien bag den måde, som microsoft applocker regler fungerer, og det fører mig til den første store koncept bag applocker regler.selv hvis du husker intet fra hele denne serie, husk det.applocker regler er organiseret i samlinger, som jeg vil tale mere om senere i denne serie).selv om det er muligt at skabe en udtrykkelig afvisning, applocker regler bør normalt betragtes som en mekanisme til at give tilladelse til noget (husk, at det er lettere at godkende den software, som du ønsker at give end at forbyde software, som du ønsker at begrænse).nu kommer de virkelig vigtige del.hvis du skaber så meget som endnu en enkelt regel i reglen automatisk indsamling, vinduer, forudsætter, at de ønsker at forhindre, at alt andet end at.,, dette er et yderst vigtigt begreb, at forstå, for hvis et øjeblik, at du ville have dine brugere til at kunne løbe microsoft office og internet explorer, så du skabe en regel, der tillader dem at gøre dette.du har ikke bruger de rettigheder, til at løbe alt andet, herunder windows - styresystem.tro det eller ej, er det let at komme til at låse en bruger ud af vinduerne ved uretmæssigt at skabe applocker regler.det er noget, som jeg vil komme meget mere som rækken foregår.,, den sidste ting, jeg gerne vil tale om, er benægtelser.som de husker, jeg nævnte tidligere, at det er muligt at forhindre, at brugere, der har administrative tilladelser til systemet fra løbende administrative værktøjer, men at de kan skabe en undtagelse for helpdesk - personale.det er noget, som jeg vil drøfte det mere indgående senere i serien, men lige nu vil jeg gerne påpege, at oprettelse af denne type konfiguration, kræver en smule baglæns., på grund af den måde, hvorpå applocker virker, kan vi ikke bare afvise alle adgang til administrative værktøjer.i stedet vil vi nødt til at give alle adgang til windows system filerne.der kan vi tilføje en fornægtelse af de administrative redskaber, der finder anvendelse på en specifik gruppe af brugere (alle undtagen helpdesk personale).du behøver ikke at gøre noget for helpdesk - medarbejdere, fordi de har adgang til de administrative redskaber, fordi de har givet alle adgang til windows system filerne.,, konklusion, i denne artikel, jeg har forklaret, at det er let at komme til at låse dig ud af vinduer, ved at skabe en forkert af applocker regler.når det er tilfældet, vil jeg anbefale at eksperimentere med applocker på en eller flere laboratorie - pc 'er, før du nogensinde har gjort forsøg på at bruge applocker i en produktion miljø.i del 3 i denne serie, vil jeg begynde, viser, hvordan man faktisk skabe applocker regler.,,,