症状
请考虑以下情形:
-
部署 Windows 7 Service Pack 1 (SP1) 中的默认规则以及 AppLocker 策略-基于或基于 Windows Server 2008 R2 SP1 的计算机。
-
管理用户或其他高特权的组的用户可以运行而不会收到计算机上的用户帐户控制 (UAC) 提示 AppLocker 策略中定义白名单中的可执行文件。
-
创建一个名为"AdminUser",作为管理员组或其他高特权的组的成员用户。
-
您使用"AdminUser"到白名单中的可执行文件运行。
在这种情况下,仍需要使用以管理员身份运行选项来运行该文件。否则为操作将失败,并且您会收到以下错误消息︰
您的系统管理员已阻止该程序。
注意:关于高特权的组的详细信息,请转到参考部分。
原因
此问题是由于用户的访问令牌中的管理员安全标识符禁用的 UAC。
解决方案
修补程序信息
可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。仅对出现这一特定问题的系统应用此修补程序。
如果此修复程序可供下载,则在此知识库文章顶部"提供修补程序下载"部分。如果未显示此部分,将申请提交到 Microsoft 客户服务和支持,以获取此修复程序。
注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰
注意:"修补程序下载可用"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。
系统必备组件
若要应用此修补程序,您必须运行 Windows 7 SP1 或 Windows Server 2008 R2 SP1。有关如何获取 Windows 7 或 Windows Server 2008 R2 的服务包的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章︰
Service Pack 1 为 Windows 7 和 Windows Server 2008 R2 的信息
注册表信息
若要使用此程序包中的更新,您不必对注册表进行任何更改。
重启要求
应用此更新后,不需要重新启动计算机。
更新替换信息
此更新不替代以前发布的更新。
此更新的全球版本将安装具有下表所列属性的文件。这些文件的日期和时间以协调世界时 (UTC) 列出。您的本地计算机上这些文件的日期和时间以您的本地时间加上当前夏令时 (DST) 偏差显示。此外,日期和时间可能会更改时执行某些操作的文件
Windows 7 和 Windows Server 2008 R2 文件信息备注
重要:相同的软件包中包含 Windows 7 的修复程序和 Windows Server 2008 R2 的修复程序。但是,热修复程序请求页上的修补程序在这两个操作系统中列出。要请求到一个或两个操作系统的系统应用此修补程序包,请选择在"Windows 7/Windows Server 2008 R2"页上列出的修复程序。始终参考"适用于"一节文章,以确定每个修补程序适用于实际的操作系统。
-
通过检查下表中显示的文件版本号,可以识别应用于特定产品、 里程碑 (RTM、 SPn) 和服务分支 (LDR、 GDR) 的文件:
-
GDR 服务分支仅包含那些广泛发布以解决广泛分布的关键问题的修复。LDR 服务分支包含除了广泛发布的修补程序的修补程序。
-
为每个环境安装的MANIFEST文件 (.manifest) 和MUM文件(.mum)都是在"Windows 7 和 Windows Server 2008 R2 的附加文件信息"部分中被单独列出。菊花和清单文件和关联的安全目录 (.cat) 文件,对维护更新组件的状态至关重要。对其属性没有列出的安全目录文件已签署 Microsoft 数字签名。
状态
Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。
详细信息
有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
用于描述 Microsoft 软件更新的标准术语的说明有关此问题的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
在唤醒这台计算机时,DHCP 客户端计算机具有多个网络适配器和运行 Windows 7 或 Windows Server 2008 R2 不能续订 DHCP 租约
其他文件信息
对于所有其他文件支持的基于 x86 的 Windows 7 SP1 和 Windows Server 2008 R2 SP1 的版本
参考资料
有关如何使用 AppLocker 的详细信息,请转到以下 TechNet 网站︰
以下组被认为是高特权的组︰
-
内置管理员
-
超级用户
-
帐户操作员
-
服务器操作员
-
打印机操作员
-
备份操作员
-
RAS 服务器组
-
Windows NT 4.0 应用程序兼容组
-
网络配置操作员
-
域管理员
-
域控制器
-
证书发布者
-
架构管理员
-
企业管理员
-
组策略管理员