Pelo que entendi, seu problema está relacionado a como o Windows trata contas administrativas.
Fora da caixa, desde o Windows Vista, as contas administrativas não têm os direitos administrativos ativados imediatamente, e você precisa elevar os privilégios de administrador usando o Controle de acesso do usuário, por exemplo, se tentar e alterar uma configuração do sistema, você recebe o prompt do UAC perguntando se você sabe o que está fazendo). Até que você faça isso, a conta de usuário basicamente tem apenas o mesmo nível de permissões que um usuário normal faria.
Conseqüentemente, ao fazer login como membro do grupo Administradores, sua conta de usuário não possui os privilégios técnicos de um administrador (já que você não aumentou o uso do UAC) e, portanto, não atende aos requisitos de sua regra "Permitir *". Sua sessão do Windows continua a implodir porque sua conta de usuário não tem permissão para executar nenhum dos arquivos de sistema do Windows necessários durante o login.
Eu tenho um problema semelhante em um dos meus ambientes AppLocker, eu não bloqueio os diretórios Arquivos de Programas e Windows tanto quanto você tem (excluindo as regras padrão), mas eu tenho uma regra basicamente dizendo "Membros de BUILTIN \ Administrators, allow * ". No entanto, quando você faz login como administrador e tenta clicar duas vezes em um executável aleatório fora do Windows / Arquivos de Programas, você recebe uma violação do AppLocker e impede que você o execute. Em vez disso, você tem que clicar com o botão direito e ir "Executar como administrador"; é só nesse momento que o AppLocker vai entender que você é de fato um membro do BUILTIN \ Administrators.
Possíveis soluções alternativas são:
-
Desative o UAC (nunca testei isso, não sei se ele funcionará - em nosso ambiente, deixamos o UAC ativado)
-
Crie um novo grupo local do Windows chamado "System Administrators" ou algo assim, e adicione contas individuais de usuário do Windows a ele de pessoas que possam acessá-lo (mas não simplesmente adicione BUILTIN \ Administradores para isso); em seguida, crie uma regra do AppLocker informando que os membros do grupo 'Administradores de sistemas' têm permissão para executar qualquer coisa.
-
Mantenha as regras de permissão padrão geradas pelo Windows, mas adicione algumas regras de 'Negar' que se aplicam aos usuários finais impedindo-os de acessar os arquivos específicos nos diretórios Windows e Arquivos de Programas com os quais você está preocupado. Isso é o que fazemos em nosso ambiente (por exemplo, permitir C: \ Windows \ *, mas bloquear o acesso a cmd.exe, PowerShell.exe, regedit.exe, etc. etc.) Lembre-se de que uma regra Negar sempre substitui uma regra Permitir .
Se ainda não o fez, certifique-se de ativar o log do AppLocker e examine o Visualizador de Eventos do Windows, pois ele deve fornecer informações sobre por que um determinado usuário não recebeu permissão para executar algo. Verifique também o Test-AppLockerPolicy
comando do PowerShell para simular o que é permitido e o que não é para um usuário específico e executável (embora não tenha certeza se está disponível no Windows 7, talvez seja necessário atualizar sua versão do PowerShell).