Regeln für Benutzerrechte

Sie können für jede Regel im Knoten "Benutzerrechte" auswählen, dass bei Erfüllung der Regel Richtlinien für Benutzerrechte auf Dateien, Ordner, Signaturen, Gruppen und Windows-Komponenten angewendet werden. Durch Konfigurieren von Self-Elevation können Sie einem Benutzer die Option einräumen, ein Element mit erhöhten Benutzerrechten auszuführen. Sie können auch mithilfe von Systemkontrollen die Fähigkeit von Benutzern zur Vornahme bestimmter Aktionen einschränken, z. B. Deinstallieren oder Ändern bestimmter Anwendungen, Verwalten angegebener Dienste oder Löschen von Ereignisprotokollen.

Wählen Sie den Knoten "Benutzerrechte" für die zu konfigurierende Regel aus. Im Arbeitsbereich werden vier Registerkarten angezeigt: Anwendungen, Komponenten, Self-Elevation und Systemkontrollen.

In diesem Abschnitt werden folgende Themen behandelt:

Anwendungen

Klicken Sie zum Hinzufügen einer Datei, eines Ordners, einer Signatur oder einer Gruppe zur Registerkarte "Anwendungen" im Menüband "Berechtigungsverwaltung" auf Element hinzufügen. Das Element wird auf der Registerkarte unter den Spalten "Element", "Richtlinie" und "Beschreibung" angezeigt. Um die auf die Datei, den Ordner oder die Signatur angewendete Richtlinie zu ändern, doppelklicken Sie auf das Element, um das Dialogfeld "Bearbeiten" aufzurufen. Wählen Sie die anzuwendende Richtlinie aus der Dropdownliste Richtlinie aus.

Weitere Informationen zum Hinzufügen von Elementen finden Sie unter Regelelemente.

Komponenten

Da es sich bei Snap-Ins der Management Console und Applets der Systemsteuerung nicht um ausführbare Dateien handelt, können sie nicht unter Verwendung einer einzigen ausführbaren Datei erhöht werden. Diese werden stattdessen unter Verwendung eines Befehlszeilenabgleichs erhöht. Im Abschnitt "Komponenten" sind jedoch Verknüpfungen zum Konfigurieren dieser Elemente verfügbar. Jede Verknüpfung entspricht einer UPM-Richtlinie vom Typ "Datei hinzufügen" mit spezifizierten Argumenten.

Die Befehlszeilenargumente und Erstellungsmechanismen sind vom jeweiligen Betriebssystem abhängig, das Ihre Benutzer verwenden.

Komponenten der Systemsteuerung und Netzwerkadapterfunktionen werden in der Regel von "explorer.exe" gesteuert. Vom Erhöhen von "explorer.exe" zum Ausführen im Kontext eines lokalen Administrators wird aus Sicherheitsgründen abgeraten. Windows-Komponenten können erhöht oder eingeschränkt werden, ohne dass dazu Rechte in Verbindung mit "explorer.exe" geändert werden müssen.

Verwenden Sie den Filter des Dialogfelds "Komponenten auswählen", um die unterstützten Komponenten nach Betriebssystem zu filtern.

  1. Erweitern Sie die betreffende Gruppenregel im Navigationsbereich und wählen Sie den Knoten Benutzerrechte aus.
  2. Wählen Sie im Arbeitsbereich die Registerkarte Komponenten aus.

  3. Wählen Sie im Menüband "Berechtigungsverwaltung" die Option Element hinzufügen > Komponente hinzufügen aus.

    Das Dialogfeld "Komponenten auswählen" wird angezeigt.

  4. Wählen Sie die Komponenten aus, die der Benutzer als Administrator ausführen soll, z. B. Programme hinzufügen/entfernen\Programme und Funktionen.

  5. Klicken Sie auf OK.

    Die Komponente wird nun auf der Registerkarte "Komponenten" aufgeführt.

  6. Führen Sie eine der folgenden Aktionen durch:
    • Um die Berechtigungen für die ausgewählte Komponente zu erweitern, wählen Sie in der Spalte "Richtlinie für Benutzerrechte" aus der Dropdownliste die Option Integrierte Erhöhung aus.
    • Um die Berechtigungen für die ausgewählte Komponente einzuschränken, wählen Sie in der Spalte "Richtlinie für Benutzerrechte" aus der Dropdownliste die Option Integrierte Einschränkung aus.
  7. Speichern Sie die Konfiguration.

UAC-Ersetzung

Die UAC-Ersetzung wurde mit Application Control Release 2020.2 eingeführt und ergänzt die bereits vorhandene Self-Elevation-Funktionalität innerhalb von Application Control. Die Funktion erkennt, ob eine ausgewählte Anwendung die UAC-Eingabeaufforderung anzeigt. Falls ja, ermöglicht sie Administratoren, den erlaubten Zugriff festzulegen.
Weitere Informationen finden Sie unter UAC-Ersetzung.

Self-Elevation

Self-Elevation kann auf Signaturen, Dateien und Ordner angewendet werden, für deren Ausführung und Funktionalität normalerweise Administratorrechte erforderlich wären. Self-Elevation bietet eine Option zum Ausführen eines Elements mit erhöhten Rechten, die über das Kontextmenü von Windows Explorer verfügbar ist. Versucht ein Benutzer, ein bestimmtes Element mit erhöhten Rechten auszuführen, kann eine Eingabeaufforderung angezeigt werden, die den Benutzer auffordert, einen Grund für die Self-Elevation einzugeben, bevor diese angewendet wird.

Weitere Informationen finden Sie unter Self-Elevation.

Systemkontrollen

Systemkontrollen erlauben oder verhindern, dass benannte Dienste gestoppt, Ereignisprotokolle gelöscht oder bestimmte Anwendungen deinstalliert oder modifiziert werden.

Weitere Informationen finden Sie unter Systemkontrollen.

Verwandte Themen

Verwaltung von Benutzerrechten

Regeltypen

Regelelemente

Zulässige Elemente

Verweigerte Elemente

Vertrauenswürdige Anbieter

Browser-Kontrolle