ユーザ権限ルール

[ユーザ権限] ノード内のどのルールについても、ルールに一致した場合にファイル、フォルダ、署名、グループ、および Windows コンポーネントに適用されるユーザ権限ポリシーを選択できます。自己昇格を構成し、ユーザが昇格された権限で項目を実行することを許可できます。また、システム制御を使用することで、特定のアプリケーションのアンインストールまたは変更、特定のサービスの管理、イベントログの消去といったユーザの操作を制限することもできます。

構成するルールに対応する [ユーザ権限] ノードを選択します。作業領域に [アプリケーション]、[コンポーネント]、[自己昇格]、[システム制御] という4つのタブが表示されます。

アプリケーション

[アプリケーション] タブにファイル、フォルダ、署名、またはグループを追加するには、[権限管理] リボンの [項目の追加] をクリックします。タブの項目、ポリシー、説明列で、項目が一覧表示されます。ファイル、フォルダ、または署名に適用されるポリシーを変更するには、項目をダブルクリックして編集ダイアログボックスを表示します。[ポリシー] ドロップダウンリストから適用するポリシーを選択します。

項目の追加の詳細については、「ルール項目」をご参照ください。

コンポーネント

管理コンソールスナップインとコントロールパネルアプレットは、実行可能ファイルではないため、単一の実行ファイルを使用して昇格させることはできません。代わりに、コマンドラインの突き合わせを使用して昇格させる必要があります。ただし、これらの項目の構成へのショートカットが [コンポーネント] セクションに用意されています。各ショートカットは、指定した引数を含む [ファイルの追加] UPM ポリシーと同じです。

コマンドライン引数と起動のメカニズムは、個々のユーザが使用しているオペレーティングシステムによって異なります。

コントロールパネルコンポーネントとネットワークアダプタ機能は、一般的に explorer.exe によって制御されます。ローカル管理者のコンテキストで実行されるように explorer.exe を昇格させることは、セキュリティの問題を引き起こす可能性があるため、推奨されません。Windows コンポーネントについては、explorer.exe に関連付けられている権限を変更することなく、昇格または制限を行えます。

[コンポーネントの選択] ダイアログでフィルタを使用して、オペレーティングシステムでサポートされているコンポーネントをフィルタリングします。

UAC 置換

Application Control リリース2020.2で導入された UAC 置換は、Application Control 内での既存の自己昇格の機能を補完するものです。選択されたアプリケーションが UAC プロンプトを表示するものであるかどうかを検出し、表示するものである場合は、許可されるアクセス権限を管理者が決定できるようにします。
詳細については、「UAC 置換」をご参照ください。

自己昇格

自己昇格は、通常、実行および機能に管理者権限が必要な署名、ファイル、フォルダ項目に適用できます。自己昇格は、Windows エクスプローラコンテキストメニューから、昇格された権限で項目を実行するためにオプションを提供します。ユーザが指定された項目を昇格するときには、適用される前に、昇格の理由を入力するためのプロンプトを構成できます。

詳細については、「自己昇格」をご参照ください。

システム制御

システム制御を使用して、名前付きサービスの停止、イベントログのクリア、特定のアプリケーションのアンインストールまたは修正を許可または防止します。

詳細については、「システム制御」をご参照ください。