允许的项目

在此部分:

关于允许的项目

将允许的项目添加到组规则中,以授予用户对特定项的访问权限,而不为他们提供完全的管理权限。允许的项目显示在符合选定组规则的“允许的项目”列表:

如果仅指定文件名,例如 myapp.exe,则无论应用程序的位置如何,都将允许此应用程序的所有实例。如果指定文件的完整路径,例如 \\servername\sharename\myapp.exe,则仅允许应用程序的此实例。此应用程序的其他实例需要满足其他应用程序管理器规则才会被准予执行。对于“应用程序管理器”中参考 DFS 共享上的项目的文件和文件夹,您需要指定目标服务器,而不是 UNC 路径中的“命名空间”服务器。

有关详细信息,请参阅分布式文件系统

可以指定整个文件夹,例如 \\servername\servershare\myfolder,则此文件夹和所有子文件夹(如需要)中的所有应用程序都会被允许执行。系统不会对此文件夹中的文件进行任何检查,因此复制到此文件夹中的任何文件都会被允许执行。选择包括子目录可包括指定目录下的所有目录。如果添加网络文件或文件夹路径,则您必须使用 UNC 名称,因为应用程序管理器代理会忽略驱动器号未配置为本地固定磁盘的任何路径。用户可通过网络映射的驱动器号来访问网络应用程序,因为在针对配置设置验证路径之前会将路径转换为 UNC 格式。要自动应用环境变量,请在添加文件添加文件夹对话框中选择在可能的情况下,替换环境变量。这样会使路径更通用,以适用于不同的计算机。通配符支持为指定通用文件路径提供另一层控制。

您可以指定整个驱动器,例如 W,则此驱动器中的所有应用程序(包括子文件夹)都会被允许执行。系统不会对此驱动器中的文件进行任何检查,因此复制到此驱动器中任何文件夹的任何文件都会被允许执行。

除了文件的数字哈希,还可以添加文件。这样确保仅可执行特定文件,而非来自任何位置的文件。有关详细信息,请参阅“签名哈希”。

可指定网络连接项目。网络上的所有文件都会被允许执行。

选择要允许的 Windows 应用商店应用。您可以选择以下条件之一:

  • 允许所有已安装的应用
  • 允许选定的单个应用
  • 允许指定发布者的所有应用

组可包含任何数量的项目和项目的任何组合,例如特定应用程序的文件、文件夹、驱动器、签名和网络。所有文件都会被允许执行。

添加允许的项目

  1. 规则 > > 所有人中选择“允许的项目”节点。
  2. 单击添加项目,然后从下拉箭头中选择允许

  3. 选择要允许的项目,例如“文件”。

    将显示“添加文件”对话框。

  4. 输入或浏览要允许的文件。

    默认情况下,会选中在可能的情况下,替换环境变量复选框。如果未选中,则环境变量不会替换为通用环境变量。

  5. 如果适用,在描述字段中输入任何与允许的项目相关的补充信息。
  6. 如果想让文件在不考虑所有者的情况下运行,则选择允许文件运行,即使它不属于可信所有者
  7. 如果您想捕获此项目的所有事件,不管事件筛选中的设置情况如何,请选择忽略审计事件筛选

所选的项目列在“允许的项目”工作区中。

如果要禁用一个特定的规则项目,请突出显示该项,右键单击并选择更改状态。这会在禁用和启用之间切换。当需要使用“支持”进行故障排除时,这可能很有用。

移除允许的项目

  1. 规则 > > 所有人中选择“允许的项目”节点。
  2. 突出显示要删除的项目。

  3. 单击“规则项目”功能区中的删除项目

    将显示“删除项目”对话框。

  4. 单击删除项目或单击中止任务。

所选的应用程序列在“允许的项目”工作区中。

存取时间

访问时间允许您指定特定应用程序在什么时间、在什么日子可以运行,并且可以应用于组、用户、设备、自定义脚本和进程规则中允许的项目。添加或修改允许的项目时,只有在“访问时间”选项卡中选中仅允许文件在某些访问时间运行选项时,才可以分配访问时间。可以使用“规则项目”功能区中的“访问时间”选项修改时间。可以为文件、文件夹和签名允许的项目添加访问时间。

分配访问时间

这个任务说明了如何将访问时间分配给允许的项目:

  1. 规则 > > 所有人中选择允许的项目节点。

    使用“所有人”组完成此示例。这取决于选择的组。

  2. 单击添加项目,然后从下拉箭头中选择允许

  3. 选择要允许的项目,例如“文件”。

    将显示“添加文件”对话框。

  4. 输入或浏览要允许的文件。
  5. 在“访问时间”选项卡中,选择仅允许文件在某些访问时间运行
  6. 右键单击可以访问项目的时间和日期,并选择新允许的时间段。重复此步骤以添加任何其他访问时间。
  7. 选择了允许的时间段后,单击添加

应用程序限制

应用程序限制允许您指定用户在会话期间可以运行应用程序的次数。在添加或编辑允许的项目时,当您在“应用程序限制”选项卡中选中启用应用程序限制选项时,可以配置限制。在规则中添加项目之后,可以使用“规则项目”功能区中的“应用程序限制”选项。基于会话的应用程序限制只能应用于组、用户、设备、自定义、脚本化和进程规则中允许的项目。可以通过使用“消息设置”对话框将消息配置为在超过时间限制时向用户显示,可从“全局设置”功能区访问该对话框。

启用应用程序限制

  1. 规则 > > 所有人中选择“允许的项目”节点。

    使用“所有人”组完成此示例。

  2. 单击添加项目,然后从下拉箭头中选择允许

  3. 选择要允许的项目,例如“文件”。

    将显示“添加文件”对话框。

  4. 输入或浏览要允许的文件。
  5. 在“应用程序限制”选项卡中,选择“启用应用程序限制”
  6. 选择“应用程序限制”。
  7. 单击添加

允许的项目和受信任的所有权

默认情况下启用受信任的所有权检查,因此应用程序在启用时必须始终通过受信任的所有权检查,即使应用程序是允许的项目。尽管可以完全禁用受信任的所有权检查,但不建议这样做。但是,如果需要为用户提供对不属于受信任用户的文件、文件夹或组的访问权限,则可以在创建或编辑项目时禁用可信所有者检查,方法是选中“即使文件未由可信所有者拥有,也允许文件运行”选项。

相关主题

规则类型

规则项目

允许的项目

可信供应商

用户权限规则

浏览器控件