Com SRP, a regra mais conservadora tem precedência . Isto é, desautorizar tem precedência sobre permitir .
Sua regra de permissão %LocalAppData%\Tempz*.tmp\setup-stub.exe
é funcionalmente equivalente à regra de proibição de %LocalAppData%\Tempz*\*.exe
. Duas regras de caminho, contendo curingas como você usou, são tratadas como as mesmas na avaliação de precedência.
De Como funcionam as políticas de restrição de software :
Path rule precedence
When there are multiple matching path rules, the most specific matching rule takes precedence.
The following is a set of paths, from highest precedence (more specific match) to lowest precedence (more general match):
- Drive:\Folder1\Folder2\FileName.Extension
- Drive:\Folder1\Folder2*.Extension
- *.Extension
- Drive:\Folder1\Folder2\
- Drive:\Folder1\
Suas regras conflitantes correspondem ao segundo exemplo e são consideradas de precedência equivalente. Por causa disso, a regra de não permissão "ganha".