自行提升

在此部分:

关于自行提升

“自行提升”可以应用于签名、文件和文件夹,它们通常需要管理员权限才能运行和发挥作用。“自行提升”从 Windows 资源管理器快捷菜单中提供了一个选项,以使用提升的权限运行项目。当用户尝试提升指定的项目时,将显示一个提示,要求用户在应用该提升之前输入原因。

请注意,根据以往惯例,自行提升选项会应用于策略中匹配的规则项目。自 Application Control 2020.3 起,可使用替代方法实现更精细的控制:

规则项目应用程序可实现对特定项目选项的控制 - 包括用户权限策略的应用程序。可配置为提示用户选择是否应该应用提升,并且可在用户选择提升时要求用户提供理由。有关详细信息,请参阅规则项目

自行提升让用户能够配置和应用自定义令牌。请参阅下面的“自行提升”选项

“自行提升”将经过审核,使您可以监控用户通常希望自行提升的应用程序类型。审计功能让您能够识别项目并将其添加到配置中适当的用户权限节点,以便用户无需请求便可对其进行访问。

在禁用用户访问控制 (UAC) 的环境中,您可以使用自定义设置 SelfElevatePropertiesEnabled 启用 Windows 资源管理器文件和文件夹属性的“自行提升”。在这种情况下,您可以使用自定义设置 SelfElevatePropertiesMenuText 自定义 Windows 资源管理器快捷菜单选项文本。

配置自行提升

  1. 选择适用组的用户权限节点,例如所有人组。
  2. 选择自行提升选项卡。
  3. 选择启用自行提升并应用所需的设置:
    • 仅将自行提升应用于以下列表中的项目

    • 将自行提升应用于除以下列表中以外的所有项目

  4. 在“管理”功能区中,选择添加项目 > 自行提升,然后输入或选择一个文件、文件夹、签名或组。

    任何包含在自行提升文件关联列表中的文件类型均可进行自行提升。

  5. 要添加进一步验证,请单击元数据选项卡,然后输入有关文件和产品的描述、供应商和版本号的详细信息。

    如果不限制哪些文件可以进行自行提升,请将字段留空。在应用元数据的位置,项目必须匹配该元数据才能进行自行提升。

  6. 保存配置。

“自行提升”选项

通过指定应用程序在提升之后如何运行,可以配置规则项目的“自行提升”选项。您还可以定义提升如何影响任何子进程或常见对话框。

在“权限管理”功能区中,选择自行提升选项并配置所需的设置:

  • 将项目设为允许 - 将规则项目设为允许,并覆盖所有关联的允许的项目。
  • 即使文件未由可信所有者拥有,也允许文件运行 - 当选中“将项目设为允许”时,此选项可用。选择后,无论所有者是谁,都将执行所有列出的规则项目。
  • 应用到子进程 - 默认情况下,应用于规则项目的自行提升策略不会被子进程继承。选择此选项可将策略应用于父进程的直接子项。
  • 应用到常用对话框 - 在文件或文件夹得到提升时,提升对于“打开文件”和“保存文件”Windows 菜单选项的访问权限。
  • 作为可信所有者安装 - 将本地管理员设为定义应用程序创建的所有文件的所有者。此选项不适用于常规应用程序,仅适用于安装程序包。
  • 隐藏自行提升项目的“以管理员身份运行”Windows 选项 - 在 Windows 快捷菜单中隐藏“以管理员身份运行”选项。
  • 策略 - 点击箭头图标并选择所需的策略。
    定义自定义用户权限策略让您能够将自定义令牌分配到您的自行提升规则项目。
    有关详细信息,请参阅用户权限
  • 显示一个消息框,要求用户提供自行提升的原因 - 提示用户在自行提升时提供原因。在自行提升消息设置中设置消息的内容和维度。

浏览 OneDrive 文件时,快捷菜单中的“以管理员身份运行”选项不可用,直到文件完成同步并变为本地可用。

自行提升文件协会

配置用户可以使用提升的权限或管理权限打开的文件类型和关联应用程序的列表。用户右键单击文件时,Application Control 会执行以下检查,以便确定用户是否可以提升与该文件相关联的应用程序:

  • 文件关联列表中是否存在此文件类型?
    • - 该文件不能进行自行提升。
    • - 检查关联应用程序。
  • 是否存在关联应用程序?
    • - 该文件使用用户端点上关联应用程序进行自行提升。
    • - 该文件仅在使用文件关联列表中指定的应用程序打开时,才能进行自行提升。

如果应用程序可以进行自行提升,则快捷菜单中会有相应的选项,用户可以使用提升的权限访问该应用程序。如果用户将默认程序更改为与配置中设置的关联应用程序不同的程序,则快捷菜单中将不会再提供“自行提升”选项。

更新文件关联

  1. 在“管理”功能区中,单击高级设置,然后选择自行提升文件关联选项卡。
  2. 使用添加删除按钮更新扩展名和关联应用程序的列表。可添加任何文件扩展名。

默认情况下,包含以下扩展名:

文件扩展名 关联应用程序
EXE
BAT
CMD
VBS wscript.exe
WSF wscript.exe
VBE wscript.exe
MSI msiexec.exe
MSP msiexec.exe
PS1 powershell.exe
MSC mmc.exe
REG regedit.exe

自行提升消息设置

配置用户请求自行提升时显示的消息内容和维度。

如果在自行提升选项中选择了显示一个消息框,要求用户提供自行提升的原因选项,则会显示此消息。

  1. 在“全局设置”功能区中选择消息设置
  2. 选择自行提升选项卡。

  3. 在“名称”字段中,输入要为自行提升快捷菜单选项显示的文本。

    用户右键单击其扩展名位于自行提升文件关联列表上的文件时,会显示此菜单选项。

  4. 配置用户请求自行提升时所显示消息的标题、内容和维度。
  5. Click OK.

相关主题

自定义设置列表