上网权限策略建立疑惑

有一个疑惑前来咨询，
在建立一条上网权限策略的时候，
应用控制添加一条
①:拒绝未开通的，取消拒绝已开通的.
和添加两条
①:允许已开通的.
②:拒绝未开通的.

这两种有什么区别吗？  或者是那种便于后期维护呢？

哦，，第一张图片应该是贴错了。。。应该是拒绝的。

AC默认放通的，匹配规则是从上往下的。我的做法拒绝未开通的，

上网权限策略默认是允许的，如果用户有关联多条策略 那么用户权限就是多条策略的集合

我的建议是：
最最最高的一条是拒绝敏感类，盗版类，勒索网址，色情等绝对不给访问的，
然后允许所需的多个权限，
最后来一条全部拒绝，我觉得我这样好维护，后期要什么权限，直接权限叠加，

比如下图就是QQ微信和查资料的，我就QQ微信一个策略，查资料一个策略，叠加，，

最后关大门，全禁止，

您这边大致是木有区别，主要是看适用对象是给所有用户还是单个用户，您的第一种建一条大策略允许，然后再建一条大策略拒绝（只不过就是需要重新建2条，个人建议如果您这边策略不多且适用对象不是相同的人建议您使用这种），您的第二种就是建一条策略允许在上面，拒绝在下面，首先会匹配上面的允许，其次才会匹配拒绝且控制应用不一样都会自动匹配（这种呢就是建一条大策略里面分2种小策略，个人觉得如果您这边策略较多且是关联给相同的用户用这种方便管理），这2中策略默认都是从上往下匹配的，不管是允许的还是拒绝的，只要策略在最上面就会优先匹配哦，就看您这边是什么需求噢