Gruppenregeln

Mithilfe des Knotens "Gruppenregeln" können Sie Sicherheitskontrollregeln mit bestimmten Benutzergruppen innerhalb des Unternehmens abgleichen.

Die Gruppenübersicht gibt Aufschluss über den Gruppennamen, die Textsicherheitskennung (SID) und die Sicherheitsstufe der Regel. Application Control ermöglicht das Zuweisen von vier verschiedenen Sicherheitsstufen zu den Gruppenregeln. Eine SID ist eine Datenstruktur mit variabler Länge, die Benutzer-, Gruppen- und Computerkonten identifiziert. Bei der Erstellung erhält jedes Konto in einem Netzwerk eine eindeutige SID. Interne Prozesse in Windows verweisen eher auf die SID eines Kontos als auf den Benutzer oder Gruppennamen des Kontos. Analog verweist auch Application Control auf eine Benutzer- oder Gruppen-SID, es sei denn, die SID konnte beim Hinzufügen zur Konfiguration nicht gefunden werden.

Es gibt zwei vordefinierte Gruppenregeln:

  • BUILTIN\Administrators – Benutzer in BUILTIN\Administrators ist die Sicherheitsstufe "Uneingeschränkt" zugewiesen. Die Gruppe "BUILTIN\Administrators" ermöglicht lokalen Administratoren das Verwalten des Zugriffs auf Anwendungen.

  • Jeder – Der Gruppenregel "Jeder" sowie allen zusätzlichen Gruppenregeln ist die Sicherheitsstufe "Eingeschränkt" zugeweisen, es sei denn, ein Benutzer erfüllt andere Gruppen- oder Benutzerregeln mit höherer Priorität. Alle Benutzer, einschließlich der Administratoren, sind Teil der Gruppe "Jeder". Administratoren unterliegen also den Regeln von zwei Gruppen: der Gruppe "BUILTIN\Administrators" mit uneingeschränkten Rechten und er Gruppe "Jeder" mit eingeschränkten Rechten. Application Control verwendet die weniger restriktiven Regeln, folglich sind alle Administratoranfragen uneingeschränkt.

    In der Regel werden alle Dateien, Ordner, Laufwerke, Signaturelemente, Netzwerkverbindungselemente und Gruppen angegeben, die für jeden verboten sein sollen. Anschließend können Sie eine neue Gruppe oder einen neuen Benutzer anlegen und die Elemente definieren, die für die Gruppe bzw. den Benutzer zugänglich sein sollen. Auf diese Weise steuern Sie, worauf die Benutzer Zugriff haben.

Verwaltung von Gruppenregeln:

  • Klicken Sie zum Verwalten einer Gruppenregel im Menüband "Regeln" auf Regel hinzufügen und wählen Sie Gruppenregel aus.

    Das Dialogfeld "Gruppenregel hinzufügen" wird angezeigt. Geben Sie ein Konto ein oder navigieren Sie zu dem gewünschten Konto und wählen Sie es aus.

  • Wählen Sie zum Entfernen einer Gruppenregel die betreffende Regel aus und klicken Sie im Menüband "Regeln" auf Regel entfernen.

    Eine Bestätigungsmeldung wird angezeigt. Klicken Sie auf Ja, um das Entfernen zu bestätigen.

Sie können den Knoten Zulässige Elemente, Verweigerte Elemente, Vertrauenswürdige Anbieter, Benutzerrechte und Browser-Kontrolle Elemente in den einzelnen Gruppenregelknoten hinzufügen.

Weitere Informationen finden Sie unter Regelelemente.