Éléments autorisés

Dans cette section :

À propos des éléments autorisés

Ajoutez des éléments autorisés aux règles de groupe pour octroyer aux utilisateurs un accès à des éléments spécifiques sans leur donner de pleins privilèges Administrateur. Les éléments autorisés sont affichés dans la liste Éléments autorisés de la règle de groupe sélectionnée :

Si vous spécifiez uniquement un nom de fichier, comme monappli.exe, toutes les instances de ce fichier sont autorisées, quel que soit l'emplacement de l'application. Si vous spécifiez le chemin complet du fichier, comme \\nom-serveur\nom-partage\monappli.exe, seule cette instance de l'application est autorisée. Les autres instances de l'application doivent satisfaire d'autres règles Application Manager (Gestionnaire d'applications) pour que leur exécution soit autorisée. Pour les fichiers et dossiers figurant dans Application Manager qui font référence à des éléments dans un partage DFS, vous devez spécifier le serveur cible, plutôt que le serveur d'espace de noms, dans le chemin UNC.

Pour en savoir plus, reportez-vous à « Systèmes de fichiers distribués ».

Vous pouvez spécifier un dossier entier, comme \\nom-serveur\partage-serveur\mondossier. Toutes les applications de ce dossier et de tous ses sous-dossiers, si nécessaire, sont autorisées à s'exécuter. Aucune vérification n'est effectuée sur les fichiers de ce dossier. Par conséquent, les fichiers que vous copiez vers ce dossier seront autorisés à s'exécuter. Sélectionnez Inclure les sous-répertoires pour inclure tous les répertoires enfants du répertoire spécifié.Si vous ajoutez un chemin de fichier réseau ou de dossier, vous devez utiliser le nom UNC, car l'agent Application Manager ignore tous les chemins qui sont configurés avec une lettre de lecteur ne désignant pas un disque fixe local. L'utilisateur peut accéder à l'application réseau via une lettre de lecteur réseau mappé, car le chemin est converti au format UNC avant d'être validé par rapport aux paramètres de configuration.Pour appliquer automatiquement les variables d'environnement, sélectionnez Remplacer les variables d'environnement si possible dans les boîtes de dialogue Ajouter un fichier ou Ajouter un dossier.Cela rend les chemins plus génériques pour l'application sur différentes machines.La prise en charge des caractères génériques offre un niveau de contrôle supplémentaire pour la spécification de chemins de fichier génériques.

Vous pouvez spécifier un lecteur entier, comme W. Toutes les applications de ce lecteur sont autorisées à s'exécuter, y compris celles des sous-dossiers. Aucune vérification n'est effectuée sur les fichiers de ce lecteur. Par conséquent, les fichiers que vous copiez vers un dossier de ce lecteur seront autorisés à s'exécuter.

Vous pouvez ajouter un fichier, ainsi qu'un hachage numérique de ce fichier.Cela garantit que seul ce fichier particulier peut être exécuté, mais depuis n'importe quel emplacement.Pour en savoir plus, reportez-vous à « Hachage de signature ».

Vous pouvez spécifier un élément Connexion réseau.Tous les fichiers du réseau sont autorisés à s'exécuter.

Choisissez les applis Windows Store à autoriser. Vous pouvez sélectionner l'une des options suivantes :

  • Autoriser Toutes les applis installées
  • Autoriser seulement les applis distinctes sélectionnées
  • Autoriser toutes les applis d'un éditeur donné

Les groupes peuvent contenir un nombre quelconque d'éléments combinant tous les types, notamment Fichier, Dossier, Lecteur, Signature et Network, pour une application particulière.Tous les fichiers sont autorisés à s'exécuter.

Ajout d'un élément autorisé

  1. Sélectionnez le nœud Éléments autorisés sous Règles > Groupe > Tout le monde.
  2. Cliquez sur Ajouter un élément, puis, dans la liste déroulante, sélectionnez Autorisé.

  3. Sélectionnez l'élément à marquer comme autorisé, par exemple, un fichier.

    La boîte de dialogue Ajouter un fichier s'affiche.

  4. Recherchez le fichier à marquer comme autorisé ou entrez son nom.

    Par défaut, la case Remplacer les variables d'environnement si possible est cochée. Si elle n'est pas sélectionnée, les variables d'environnement ne sont pas remplacées par une variable d'environnement générique.

  5. Si applicable, entrez d'autres informations concernant l'élément autorisé, dans le champ Description.
  6. Sélectionnez Autoriser le fichier à s'exécuter même s'il n'appartient pas à un propriétaire de confiance pour que le fichier s'exécute quel que soit son propriétaire.
  7. Sélectionnez Ignorer le filtrage des événements d'audit pour capturer tous les événements pour cet élément, quel que soit le paramétrage défini sous Filtrage des événements.

L'élément sélectionné est répertorié dans la zone de travail Éléments autorisés.

Pour désactiver un élément de règle spécifique, mettez-le en surbrillance, cliquez dessus avec le bouton droit et sélectionnez Changer l'état. Cela fait passer l'option de l'état Actif à l'état Inactif et inversement. Cela peut s'avérer utile pour le dépannage avec l'aide du support.

Suppression d'un élément autorisé

  1. Sélectionnez le nœud Éléments autorisés sous Règles > Groupe > Tout le monde.
  2. Mettez en surbrillance l'élément à supprimer.

  3. Cliquez sur Supprimer l'élément dans le ruban Éléments de règle.

    La boîte de dialogue Supprimer des éléments s'affiche.

  4. Cliquez sur Oui pour supprimer l'élément ou sur Non pour abandonner l'opération.

L'application sélectionnée est répertoriée dans la zone de travail Éléments autorisés.

Heures d'accès

L'option Heures d'accès vous permet de spécifier l'heure et les jours où une application particulière est autorisée à s'exécuter. Vous pouvez l'appliquer à Éléments autorisés dans les règles de groupe, d'utilisateur, de périphérique, de script personnalisé et de processus. Pour pouvoir affecter des périodes d'accès, vous devez sélectionner l'option Autoriser les fichiers à s'exécuter uniquement à certaines heures d'accès dans l'onglet Heures d'accès, lors de l'ajout ou de la modification d'un élément autorisé. Pour modifier les heures indiquées, vous pouvez utiliser l'option Heures d'accès du ruban Éléments de règle. Il est possible d'ajouter des heures d'accès pour les éléments autorisés Fichier, Dossier et Signature.

Affecter des heures d'accès

Cette tâche explique comment affecter des heures d'accès à un élément autorisé :

  1. Sélectionnez le nœud Éléments autorisés sous Règles > Groupe > Tout le monde.

    Dans notre exemple, nous utilisons le groupe Tout le monde. Cette valeur varie en fonction du groupe sélectionné.

  2. Cliquez sur Ajouter un élément, puis, dans la liste déroulante, sélectionnez Autorisé.

  3. Sélectionnez l'élément à marquer comme autorisé, par exemple, un fichier.

    La boîte de dialogue Ajouter un fichier s'affiche.

  4. Recherchez le fichier à marquer comme autorisé ou entrez son nom.
  5. Dans l'onglet Heures d'accès, sélectionnez Autoriser les fichiers à s'exécuter uniquement à certaines heures d'accès.
  6. Cliquez avec le bouton droit sur l'heure et le jour où un élément doit être accessible, et sélectionnez Nouvelle période autorisée. Répétez l'étape ci-dessus pour ajouter d'autres heures d'accès.
  7. Une fois les périodes autorisées sélectionnées, cliquez sur Ajouter.

Limites d'application

Les limites d'application vous permettent de spécifier le nombre de fois où une application peut être exécutée par un utilisateur au cours d'une même session. Vous pouvez configurer des limites si vous cochez la case Activer les limites d'applications, dans l'onglet Limites d'application, lorsque vous ajoutez ou modifiez un élément autorisé. Après avoir ajouté un élément à une règle, vous pouvez utiliser l'option Limites d'application du ruban Éléments de règle. Les limites d'application basées sur la session ne peuvent être utilisées que pour les élément autorisés dans les règles de groupe, d'utilisateur, de périphérique, personnalisées, scriptées et de processus. Vous pouvez configurer un message, à afficher pour l'utilisateur lorsque la durée limite est dépassée. Pour cela, utilisez la boîte de dialogue Paramètres de message, accessible depuis le ruban Paramètres globaux.

Mises en place de limites d'application

  1. Sélectionnez le nœud Éléments autorisés sous Règles > Groupe > Tout le monde.

    Dans notre exemple, nous utilisons le groupe Tout le monde.

  2. Cliquez sur Ajouter un élément, puis, dans la liste déroulante, sélectionnez Autorisé.

  3. Sélectionnez l'élément à marquer comme autorisé, par exemple, un fichier.

    La boîte de dialogue Ajouter un fichier s'affiche.

  4. Recherchez le fichier à marquer comme autorisé ou entrez son nom.
  5. Dans l'onglet Limites d'application, sélectionnez Activer les limites d'applications.
  6. Sélectionnez une limite d'application.
  7. Cliquez sur Ajouter.

Éléments autorisés et Trusted Ownership (Propriétaire de confiance)

Par défaut, la vérification Trusted Ownership (Propriétaire de confiance) est activée. Par conséquent, une application doit toujours réussir la vérification Trusted Ownership si l'option est activée, même si cette application est un élément autorisé. Bien qu'il soit possible de totalement désactiver la vérification Trusted Ownership, cette opération est déconseillée. Cependant, si vous avez besoin de fournir à un utilisateur l'accès à des fichiers, des dossiers ou des groupes dont le propriétaire n'est pas un utilisateur de confiance, vous pouvez désactiver la vérification Trusted Ownership (Propriétaire de confiance) lors de la création ou de la modification de l'élément. Pour cela, sélectionnez l'option Autoriser le fichier à s'exécuter même s'il n'appartient pas à un propriétaire de confiance.

Rubriques connexes

Types de règle

Éléments de règle

Éléments autorisés

Fournisseurs de confiance

Règles de privilège utilisateur

Contrôle du navigateur (Browser Control)