Zulässige Elemente

In diesem Abschnitt werden folgende Themen behandelt:

Wissenswertes über zulässige Elemente

Fügen Sie zulässige Elemente zu Gruppenregeln hinzu, um Benutzern Zugriff auf bestimmte Elemente einzuräumen, ohne ihnen vollständige Administratorrechte zu gewähren. Die zulässigen Elemente werden in der Liste "Zulässige Elemente" unter der ausgewählten Gruppenregel angezeigt:

Falls nur ein Dateiname angegeben ist, z. B. "meineapp.exe", dann gelten alle Instanzen davon als zulässig, unabhängig vom Speicherort der Anwendung. Wird die Datei mit dem vollständigen Pfad angegeben, z. B. "\\servername\sharename\meineapp.exe", dann ist nur diese eine Instanz der Anwendung zulässig. Andere Instanzen dieser Anwendung müssen andere Application Manager-Regeln erfüllen, damit sie ausgeführt werden dürfen. Für die Dateien und Ordner in Application Manager, die auf Elemente einer DFS-Freigabe verweisen, müssen Sie im UNC-Pfad den Zielserver angeben, und nicht den Namespace-Server.

Weitere Informationen finden Sie unter Verteilte Dateisysteme.

Sie können einen vollständigen Ordner angeben, z. B. "\\servername\servershare\meinordner". Alle Anwendungen innerhalb des Ordners und seiner etwaigen Unterordner werden dann für die Ausführung zugelassen. Die Dateien in dem Ordner werden nicht geprüft, d. h. alle Dateien, die in den Ordner kopiert werden, dürfen ausgeführt werden. Wählen Sie Unterverzeichnisse einbeziehen aus, um alle Verzeichnisse unterhalb des angegebenen Verzeichnisses einzubeziehen. Falls Sie eine Netzwerkdatei oder einen Ordnerpfad hinzufügen, müssen Sie den UNC-Namen verwenden, da der Application Manager Agent alle Pfade ignoriert, deren Laufwerksbuchstabe nicht auf eine lokale Festplatte verweist. Der Benutzer kann über einen dem Netzwerk zugeordneten Laufwerksbuchstaben auf die Netzwerkanwendung zugreifen. Der Pfad wird vor dem Abgleich mit den Konfigurationseinstellungen in das UNC-Format konvertiert. Damit Umgebungsvariablen automatisch angewendet werden, wählen Sie im Dialogfeld Datei hinzufügen bzw. Ordner hinzufügen die Option Umgebungsvariablen möglichst ersetzen aus. Dadurch wird der Pfad generischer für die Anwendung auf unterschiedlichen Computern. Die Unterstützung für Platzhalter bietet eine zusätzliche Steuerungsebene beim Angeben generischer Dateipfade.

Sie können ein komplettes Laufwerk angeben, z. B. Laufwerk W. Alle Anwendungen auf diesem Laufwerk, einschließlich der darin enthaltenen Unterordner, dürfen dann ausgeführt werden. Die Dateien in dem Laufwerk werden nicht geprüft, d. h. alle Dateien, die in einen Ordner des Laufwerks kopiert werden, dürfen ausgeführt werden.

Zusammen mit der Datei kann ein digitaler Hash der Datei hinzugefügt werden. Dadurch wird sichergestellt, dass nur diese bestimmte Datei ausgeführt werden darf, jedoch von einem beliebigen Speicherort aus. Weitere Informationen finden Sie unter "Erstellen von Signatur-Hashes".

Ein Netzwerkverbindungselement kann angegeben werden. Alle Dateien im Netzwerk dürfen ausgeführt werden.

Wählen Sie, welche Windows Store Apps zulässig sein sollen. Wählen Sie eine der folgenden Optionen aus:

  • Alle installierten Apps zulassen
  • Ausgewählte Individuelle Apps zulassen
  • Alle Apps eines benannten Herausgebers zulassen

Gruppen können beliebig viele Elemente und Kombinationen aus Elementen für eine bestimmte Anwendung beinhalten, z. B. Datei, Ordner, Laufwerk, Signatur und Netzwerk. Alle Dateien dürfen ausgeführt werden.

Hinzufügen eines zulässigen Elements

  1. Wählen Sie den Knoten "Zulässige Elemente" unter Regeln > Gruppe > Jeder aus.
  2. Klicken Sie auf Element hinzufügen und wählen Sie aus der Dropdownliste Zulässig aus.

  3. Wählen Sie das Element aus, das Sie als zulässig festlegen möchten, z. B. Datei.

    Das Dialogfeld "Datei hinzufügen" wird angezeigt.

  4. Geben Sie die als zulässig festzulegende Datei ein oder navigieren Sie an ihren Speicherort.

    Das Kontrollkästchen Umgebungsvariablen möglichst ersetzen ist standardmäßig markiert. Falls die Option nicht markiert ist, werden Umgebungsvariablen nicht durch eine generische Umgebungsvariable ersetzt.

  5. Geben Sie ggf. weitere Informationen zu dem zulässigen Element in das Feld "Beschreibung" ein.
  6. Wählen Sie Ausführen der Datei auch dann zulassen, wenn sie keinem vertrauenswürdigen Besitzer gehört aus, wenn Sie möchten, dass die Datei unabhängig vom Besitzer der Datei ausgeführt wird.
  7. Wählen Sie Prüfereignisfilterung ignorieren aus, wenn Sie alle Ereignisse für dieses Element unabhängig von der Einstellung unter Ereignisfilterung erfassen möchten.

Das ausgewählte Element wird im Arbeitsbereich "Zulässige Elemente" aufgeführt.

Wenn Sie ein bestimmtes Regelelement deaktivieren möchten, klicken Sie mit der rechten Maustaste und wählen Sie Status ändern aus. Daraufhin ändert sich der Status von aktiviert in deaktiviert. Diese Funktion bietet sich an, wenn Sie beispielsweise Probleme zusammen mit dem Support beheben möchten.

Entfernen eines zulässiges Elements

  1. Wählen Sie den Knoten "Zulässige Elemente" unter Regeln > Gruppe > Jeder aus.
  2. Markieren Sie das zu entfernende Element.

  3. Klicken Sie im Menüband "Regelelemente" auf Element entfernen.

    Das Dialogfeld "Elemente entfernen" wird angezeigt.

  4. Klicken Sie auf Ja, um das Element zu entfernen, oder klicken Sie auf Nein, um den Vorgang abzubrechen.

Die ausgewählte Anwendung wird im Arbeitsbereich "Zulässige Elemente" aufgeführt.

Zugriffszeiten

Mithilfe von Zugriffszeiten legen Sie fest, zu welcher Uhrzeit und an welchen Tagen eine bestimmte Anwendung ausgeführt werden darf. Diese können auf zulässige Elemente in Gruppen, Benutzern, Geräten, benutzerdefinierten Skripten und Prozessregeln angewendet werden. Zugriffszeiten können nur dann zugewiesen werden, wenn die Option Ausführen von Dateien nur zu bestimmten Zugriffszeiten zulassen auf der Registerkarte "Zugriffszeiten" markiert ist, wenn Sie ein zulässiges Element hinzufügen oder ändern möchten.Die Uhrzeiten können mithilfe der Option "Zugriffszeiten" im Menüband "Regelelemente" geändert werden. Zugriffszeiten können für zulässige Elemente vom Typ Datei, Ordner und Signatur hinzugefügt werden.

Zuweisen von Zugriffszeiten

Nachfolgend wird erläutert, wie Sie einem zulässigen Element Zugriffszeiten zuweisen:

  1. Wählen Sie den Knoten Zulässige Elemente unter Regeln > Gruppe > Jeder aus.

    In diesem Beispiel wird die Gruppe "Jeder" verwendet. Dies variiert, je nach ausgewählter Gruppe.

  2. Klicken Sie auf Element hinzufügen und wählen Sie aus der Dropdownliste Zulässig aus.

  3. Wählen Sie das Element aus, das Sie als zulässig festlegen möchten, z. B. Datei.

    Das Dialogfeld "Datei hinzufügen" wird angezeigt.

  4. Geben Sie die als zulässig festzulegende Datei ein oder navigieren Sie an ihren Speicherort.
  5. Wählen Sie auf der Registerkarte "Zugriffszeiten" die Option Ausführen von Dateien nur zu bestimmten Zugriffszeiten zulassen aus.
  6. Klicken Sie mit der rechten Maustaste auf eine Uhrzeit und einen Tag, zu der/an dem auf das Element zugegriffen werden kann, und wählen Sie Neuer zulässiger Zeitraum aus. Wiederholen Sie diesen Schritt für jede weitere Zugriffszeit, die Sie hinzufügen möchten.
  7. Nachdem Sie die zulässigen Zeiträume ausgewählt haben, klicken Sie auf Hinzufügen.

Anwendungslimits

Mithilfe von Anwendungslimits legen Sie fest, wie häufig ein Benutzer innerhalb einer Sitzung eine Anwendung ausführen darf.Zum Konfigurieren von Limits muss die Option Anwendungslimits aktivieren auf der Registerkarte "Anwendungslimits" markiert sein, wenn Sie ein zulässiges Element hinzufügen oder bearbeiten. Sie können die Option "Anwendungslimits" im Menüband "Regelelemente" verwenden, nachdem Sie einer Regel ein Element hinzugefügt haben. Sitzungsbasierte Anwendungslimits können nur auf zulässige Elemente in Gruppen-, Benutzer-, Geräte-, benutzerdefinierten, Skript- und Prozessregeln angewendet werden. Sie können eine Meldung konfigurieren, die dem Benutzer angezeigt wird, wenn das Anwendungslimit überschritten wurde. Verwenden Sie dazu das Dialogfeld "Meldungseinstellungen" im Menüband "Globale Einstellungen".

Anwenden von Anwendungslimits

  1. Wählen Sie den Knoten "Zulässige Elemente" unter Regeln > Gruppe > Jeder aus.

    In diesem Beispiel wird die Gruppe "Jeder" verwendet.

  2. Klicken Sie auf Element hinzufügen und wählen Sie aus der Dropdownliste Zulässig aus.

  3. Wählen Sie das Element aus, das Sie als zulässig festlegen möchten, z. B. Datei.

    Das Dialogfeld "Datei hinzufügen" wird angezeigt.

  4. Geben Sie die als zulässig festzulegende Datei ein oder navigieren Sie an ihren Speicherort.
  5. Wählen Sie auf der Registerkarte "Anwendungslimits" die Option Anwendungslimits aktivieren aus.
  6. Wählen Sie das Anwendungslimit aus.
  7. Klicken Sie auf Hinzufügen.

Zulässige Elemente und vertrauenswürdiger Besitz

Die Prüfung auf vertrauenswürdigen Besitz ist standardmäßig aktiviert. Sie wird daher für jede Anwendung durchgeführt, auch wenn es sich bei der Anwendung um ein zulässiges Element handelt. Die Prüfung auf vertrauenswürdigen Besitz kann zwar insgesamt deaktiviert werden, dies wird jedoch nicht empfohlen. Sie können die Prüfung auf vertrauenswürdigen Besitz jedoch deaktivieren, wenn Sie einem Benutzer Zugriff auf Dateien, Ordner oder Gruppen einräumen möchten, die keinem vertrauenswürdigen Besitzer gehören. Aktivieren Sie dazu beim Erstellen oder Bearbeiten des Elements die Option Ausführen der Datei auch dann zulassen, wenn sie keinem vertrauenswürdigen Besitzer gehört.

Verwandte Themen

Regeltypen

Regelelemente

Zulässige Elemente

Vertrauenswürdige Anbieter

Regeln für Benutzerrechte

Browser-Kontrolle