Windows 8 和 Windows Server 2012 中均提供旁加载，它指直接在设备上安装应用，而无需通过 Windows 应用商店。LOB 应用不需要 Microsoft 认证，不能通过 Windows 应用商店安装，但是他们必须使用有受信任的根证书的证书签名。我们建议 IT 管理员对 LOB 应用采用与 Windows 应用商店使用的相同的技术认证。

有关旁加载的详细信息，请参阅如何添加和删除应用。

有关运行技术认证测试的详细信息，请参阅如何使用 Windows 应用认证工具包测试您的应用。

我能使用组策略在企业环境控制 Windows 应用商店吗？

是的。IT 管理员能够使用组策略允许或禁止用户访问 Windows 应用商店，影响从 Windows 应用商店获取的应用更新的自动下载，以及管理旁加载应用安装的功能。

是的。与默认使用标准用户权限运行的非 Windows 8 应用程序相比，Windows 应用程序运行具有的用户权限非常有限。Windows 应用程序只能访问获得明确访问权限的资源（文件、文件夹、注册表项和 DCOM 接口）。例如，如果在 C:\Personal Docs 中创建一个新文件夹并将文件复制到该文件夹中，任何 Windows 应用程序都不能访问这些文件；这是因为，这些应用没有获得明确的访问权限。但是 Windows\System32 文件夹等关键系统资源上的访问权限 (ACL) 包含一个特殊规则 (ACE)，该规则授予 Windows 应用程序运行必需的权限。

下图重点介绍 Windows\System32 文件夹上的默认权限，授予所有 Windows 应用读取和执行权限：

可使用不同的方法更改系统资源上的默认权限 (ACL)。例如：

DCOM 接口上的访问和启动权限可通过下列组策略进行修改：“本地策略”、“安全选项”、“DCOM: 以 SDDL 语法表示的计算机访问/启动限制”。

有关详细信息，请参阅 TechNet 上的“DCOM: 使用安全描述符定义语言(SDDL)语法的计算机启动限制”。
文件系统和注册表对象上的访问权限可通过安全模板进行更改。

有关详细信息，请参阅 TechNet 上的管理员安全策略设置。

在任何这些资源上配置访问权限时，请务必识别哪些资源可以将访问权限授予所有 Windows 应用程序，并确保新生效的权限不会删除这个访问权。以 SDDL 格式提供权限时，ALL APPLICATION PACKAGES 的安全标识符 (SID) 是 S-1-15-2-1。

警告
错误配置访问权限将造成所有 Windows 应用程序无法执行。

对所有 Windows 应用程序授予一般读取和运行权限的 ACE 的 SDDL 表示法示例为 (A;OICIIO;GXGR;;;AC);，其中 AC 表示 ALL APPLICATION PACKAGES。

有通过组策略控制的 Windows 应用商店隐私设置吗？

是的。下列注册表项控制 Windows 应用商店隐私设置：

<registryKey keyName="HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\AppHost">
      <registryValue
          name="EnableWebContentEvaluation"
          value="0x00000001"
          valueType="REG_DWORD"
          />

1 值表示启用遥测；0 值表示禁用遥测。

Windows 应用商店可用性

我能否打开或关闭对 Windows 应用商店的访问？

是的。IT 管理员可采取以下方式打开或关闭对 Windows 应用商店的访问：

针对特定计算机
针对特定用户和组

有关使用 App Locker 管理 Windows 应用程序的详细信息，请参阅 AppLocker 概述。

是

否

不准确

深度不够

需要更多代码示例

翻译需要改进

(1500 个剩余字符)

感谢您的反馈

社区附加资源

添加