Я пытаюсь создать динамические правила блокировки приложений с помощью AppLocker. Настройка заключается в том, что у меня есть предопределенные правила AppLocker (например, Разрешить группе пользователей Windows «Chrome» доступ к «chrome.exe» (не фактическое имя группы или фактический путь)) и затем назначать пользователей группам при входе в систему с помощью службы Windows.
Сначала это работало нормально, но через какое-то время перестало (сам AppLocker работал, но определенные правила групп пользователей не применялись — другими словами, все было заблокировано). Я проверил все политики, объединенные с помощью командлетов PowerShell, и в соответствии с ними пользователь, который принадлежит к группе пользователей Хром должен быть разрешен доступ хром.exe, но на самом деле я бы получил сообщение о блокировке приложения.
Затем я попытался создать правило для конкретного пользователя, чтобы разрешить хром.exe, который работал нормально, и как только я удалял его (правило группы все еще существует), меня снова блокировали. Или даже простое изменение существующей групповой политики пользователей, чтобы она указывала на конкретного пользователя, заставило ее работать, а затем снова вернуться к группе пользователей, чтобы она указывала на группу пользователей.
Забавная часть - после нескольких перезапусков ВМ она снова заработала, а затем на следующий день, когда я хотел продемонстрировать ее коллеге, я снова столкнулся с той же проблемой, которая снова была решена несколькими перезапусками ВМ.
Очевидная возможная проблема может заключаться в следующем: «действительно ли пользователь принадлежит к группе?» и ответ - да: каждый раз, когда политика не работала, я входил в люсрмгр и убедитесь в этом.
Для дополнительного контекста: виртуальная машина размещена в Azure, работает под управлением Windows 10 с несколькими сеансами 21H1, AppLocker настроен на уровне локальной машины (без политик домена или чего-то подобного).
