Als GUI ist AppLocker leichter zugänglich als
SoftwareRestrictionPolicies, aber das Whitelisten von SRPs auf
AppLocker zu übertragen ist mir nicht gelungen. Im Einzelnen:

Ich habe drei Benutzer "MyAdmin", "MyPrivat", "MyInternet". Die ersten
beiden sollen alles dürfen, während MyInternet nur bestimmte
Anwendungen ausführen darf. Mit SRPs habe ich das auch bei Win7 so
lösen können: Mit einem Gruppenrichtlinienobjekt-SnapIn angewendet auf
Lokaler Computer für MyPC\MyInternet habe ich dort diese Regeln
gesetzt:

\Program Files Verboten
\Program Files\InternetAPP1 Erlaubt
\Program Files\InternetAPP2 Erlaubt
\Program Files\InternetAPP3 Erlaubt

Nun habe ich versucht, das auf AppLocker zu übertragen:

Jeder Default-Regel fürs Windows-Verzeichnis
Administratoren Default-Regel für alle Dateien
MyInternet \Program Files Verboten
MyInternet \Program Files\InternetAPP1 Erlaubt
MyInternet \Program Files\InternetAPP2 Erlaubt
MyInternet \Program Files\InternetAPP3 Erlaubt

Das aber funktioniert nicht, wohl weil bei AppLocker (im Unterschied
zu den SRPs) die Verbotsregel Vorrang hat vor den
Unterverzeichnis-Erlaubnis-Regeln.

Blacklisten ist möglich gewesen:

Jeder Default-Regel fürs Windows-Verzeichnis
Administratoren Default-Regel für alle Dateien
Jeder Default-Regel fürs Programm-Verzeichnis (Erlaubt)
MyInternet \Program Files\LokaleAPP1 Verboten
MyInternet \Program Files\LokaleAPP2 Verboten
MyInternet \Program Files\LokaleAPP3 Verboten

Nun macht Blacklisten als Anti-Malware-Strategie aber keinen Sinn. Ich
will also weiterhin Whitelisten. Geht das für bestimmte
Standard-Benutzer mit AppLocker überhaupt und wie?

Andernfalls wäre zu hoffen, dass SRPs nicht nur aus
Kompatibilitätsgründen, sondern dauerhaft erhalten bleiben.