Scenariusz z życia wzięty: klient "zarządza" Desktopami używając jedynie lokalnych polityk grupy. Na maszynach ma ustawione pewne polityki AppLocker (najpewniej różne dla różnych grup maszyn - dla komplikacji scenariusza).

Jak *połączyć* nową regułę AppLocker do istniejących (ale tylko w obrębie lokalnego GPO)?

Istnieje cmdlet Set-AppLockerPolicy, który może wczytać konfigurację wyeksportowaną wcześniej z gpedit.msc i zapisaną w XML, ale spowoduje to nadpisanie istniejących reguł nową konfiguracją, a tutaj potrzebujemy połączyć nowe reguły ze starymi.

Ten sam cmdlet zawiera przełącznik -Merge, jednak nie działa on tak, jak byśmy w tym scenariuszu oczekiwali. Merge robi coś innego, mianowicie służy do łączenia lokalnych reguł AppLocker z normalnym (nielokalnym) obiektem GPO (trzeba podać ścieżkę LDAP), np:

C:\PS>Set-AppLockerPolicy -XMLPolicy C:\Policy.xml -LDAP "LDAP://DC13.Contoso.com/CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=Contoso,DC=com"

W jaki sposób można osiągnąć opisany cel dla lokalnego GPO?