“用户权限管理”使用案例

“用户权限管理”有许多使用案例,解决了许多企业迄今无法解决的问题。下面例举一小部分情况:

  • 对于用户使用本地管理员帐户的组织来说,可能需要锁定桌面项,例如“控制面板”组件、“添加硬件”或“添加和删除程序\程序和功能”。通过动态地将用户帐户从管理员降级至特定控件的标准用户,可禁止该用户访问控件和执行不需要的任务。
  • 某些应用程序需要管理员权限,因为该应用程序需要与桌面操作系统或注册表的某些部分进行交互。但是,组织不希望为用户提供完整权限的管理员帐户。“用户权限管理”可以将指定应用程序的用户权限提升到管理员级别,使用户能够在保护桌面的同时运行该应用程序。
  • 某些应用程序可能需要管理员权限才能执行更新操作,因而在标准用户的上下文中无法执行。“用户权限管理”可以让指定应用程序只在管理员帐户的上下文下运行,而所有其他应用程序则仍然可以在标准用户的上下文中运行。
  • 移动用户可能需要手动更改其 IP 地址、配置无线网络或更改日期和时间属性,而所有这些都需要管理权限。
  • “用户权限管理”可以将指定任务的用户权限提升到管理员级别,让用户能够按需更改。

提升正在运行的应用程序的用户权限

用户通常需要管理权限才能执行相应职责。“用户权限管理”可提升用户权限,让用户拥有指定应用程序的管理权限。如需提升用户权限,您必须先创建策略,然后将其应用于规则中。

  1. 导航到 > 用户权限策略节点。
  2. 在“权限管理”功能区上,选择添加策略
  3. 选择并右键单击新策略,然后选择重命名
  4. 为策略提供直观的名称,例如提升管理员权限

  5. 选择新策略,然后在“权限管理”功能区中单击添加组操作

    将显示“帐户选择”对话框

  6. 浏览并选择要添加到策略的组。

  7. 该组将列在“用户权限策略”工作区的“组成员身份”选项卡中。

    在“操作”列中选择添加成员身份。这允许用户像组中成员一样运行应用程序。

    • “组成员资格”选项卡用于指定应用程序可以在其下运行的凭据。
    • “权限”选项卡可精细控制用户对应用程序的权限。
    • “属性”选项卡用于指定完整性级别。具有低完整性级别的应用程序无法与具有高完整性级别的应用程序互操作。
  1. 导航窗格中选择规则 > > 所有人 > 用户权限
  2. 在“权限”功能区上,选择添加项下拉箭头,突出显示应用程序,然后选择文件文件夹签名之中任意一个。
  3. 选择要添加的项目。
  4. 用户权限策略设置为上述创建用户权限管理策略步骤中创建的策略。
  5. 选择所有人节点。
  6. 将“安全级别”滑块移动到无限制以防 Application Control 进行阻止。
  7. 保存配置。

当用户对应用程序的权限发生更改时,事件 9018 将进行审计。

示例:允许用户运行 Visual Studio 和调试应用程序

用户通常需要管理权限才能运行类似 Visual Studio 的程序以及调试应用程序。“用户权限管理”可提升用户对指定应用程序的管理权限。

如需提升用户权限,您需要先创建一个或多个可重复使用的策略并将其应用于规则中。

  1. 选择 > 用户权限策略节点。
  2. 在“权限管理”功能区上选择添加策略
  3. 选择并右键单击新策略,然后选择重命名
  4. 输入直观的策略名称,例如提升 Visual Studio 权限

  5. 在“权限管理”功能区中,单击添加组操作

    将显示“帐户选择”对话框。

  6. 浏览并选择要添加到策略的组。

    该组将添加到规则工作区中的“组成员身份”选项卡中。

  7. 在选项卡的“操作”列中选择“添加成员身份”,指定成员身份。

    这允许用户像组中成员一样运行应用程序。

  1. 选择 > 用户权限策略节点。
  2. 在“权限管理”功能区上选择添加策略
  3. 选择并右键单击新策略,然后选择重命名
  4. 输入直观的策略名称,例如运行调试

  5. 选择“权限”选项卡。

    将显示权限工作区。

  6. 在“操作”列中选择调试权限的下拉菜单,然后选择启用
  1. 在导航窗格中选择规则 >

  2. 选择“规则”功能区上的添加规则下拉箭头,然后选择组规则

    随即显示“添加组规则”对话框。

  3. 在“帐户”字段中输入域名。
  4. 单击添加

  1. 选择您创建的规则下方的用户权限节点。

    将显示“用户权限”工作区。

  2. 在“权限管理”功能区中,选择添加项目 > 应用程序 > 文件
    将显示“为用户权限管理添加文件”对话框。
  3. 浏览并选择 Visual Studio 应用程序文件。
  4. 选择应用到子进程选项。

  5. 单击添加

    可执行文件的文件路径和名称将添加到工作区中的“应用程序”选项卡中。

  6. 在选项卡中,选择“用户权限策略”列中的提升 Visual Studio 权限策略。这是步骤 1 中创建的策略。

  1. 在“用户权限”工作区中,从“权限管理”功能区中选择添加项目 > 应用程序 > 文件

    将显示“为用户权限管理添加文件”对话框。

  2. 在“文件”字段中输入 *。这是允许所有调试应用程序的操作。
  3. 单击添加

  4. 在“用户权限策略”列中选择运行调试策略。

    这是步骤 4 中创建的策略。

保存配置。

提升“正在运行控制面板组件”的用户权限

许多漫游用户需要执行各种需要以管理员身份运行的任务,例如:

  • 安装打印机
  • 更改网络和防火墙设置
  • 更改时间和日期
  • 添加和删除程序。

所有这些任务都要求以管理员身份运行组件。

使用“用户权限管理”提升单个组件的权限,以便非管理员的标准用户可以进行更改并履行其职责。

提升组件权限

  1. 在适用的“规则”节点下选择用户权限节点,例如, > 所有人节点。

  2. 在“权限管理”功能区中,选择添加项目 > 添加组件

    将显示“选择组件”对话框。

  3. 选择一个或多个要提升权限的组件,然后单击确定

    使用“选择组件”对话框顶部的筛选条件,按操作系统筛选组件。

    该组件现已列在策略工作区的“组件”选项卡上。

  4. 在“用户权限策略”列中选择“内建提升”策略。
  5. 保存配置。

整理磁盘碎片需要管理权限,并由特定的组件控制。使用权限管理提升此组件的用户权限,从而允许用户整理磁盘碎片。

  1. 选择适用的“规则”节点,例如, > 所有人节点。

  2. 在“权限管理”功能区中,选择添加项目 > 添加组件

    将显示“选择组件”对话框。

  3. 选择“碎片整理”组件并单击确定

    使用“选择组件”对话框顶部的筛选条件,按操作系统筛选组件。

    该组件将添加到规则工作区中的“组件”选项卡。

  4. 选择“用户权限策略”列中的下拉箭头,然后选择内建提升策略。
  5. 保存配置。

更新 Microsoft Windows 的权限由特定的组件控制。使用权限管理提升该组件的权限,让非管理员的标准用户可以进行相应更改以便履行其职责。

提升小程序的权限:

  1. 选择适用的“规则”节点,例如, > 所有人节点。

  2. 在“权限管理”功能区中,选择添加项目 > 添加组件

    将显示“选择组件”对话框。

  3. 选择“自动更新\Windows Update”组件,然后单击确定

    使用“选择组件”对话框顶部的筛选条件,按操作系统筛选组件。

    该组件将添加到规则工作区中的“组件”选项卡。

  4. 选择“用户权限策略”列中的下拉箭头,然后选择内建提升策略。
  5. 保存配置。

降低用户对应用程序的权限

用户以管理员身份运行应用程序,能够更改许多不需要的设置以及安装应用程序,还可能将桌面连接到网络上。使用“用户权限管理”能够限制管理员级别的用户在标准用户模式下运行类似于 Internet Explorer 的程序,从而保护桌面的安全。

如需提升用户权限,您需要先创建策略,然后将其应用于规则中。

  1. 导航 > 用户权限策略节点。
  2. 在“权限管理”功能区上,选择添加策略
  3. 选择并右键单击新策略,然后选择重命名
  4. 为策略提供直观的名称,例如降低管理员权限
  5. 选择新策略,然后在“权限管理”功能区中选择添加组操作
    将显示“帐户选择”对话框

  6. 浏览并选择要添加到策略的组。这些是运行应用程序的帐户凭据。单击添加

    该组将列在策略工作区的“组成员身份”选项卡中。

  7. 在“操作”列中选择删除成员身份
    • “组成员资格”选项卡用于指定应用程序可以在其下运行的凭据。
    • “权限”选项卡可精细控制用户对应用程序的权限。
    • “属性”选项卡用于指定完整性级别。具有低完整性级别的应用程序无法与具有高完整性级别的应用程序互操作。
  1. 导航到规则 > > 所有人 > 用户权限节点。
  2. 在“权限”功能区上,选择添加项下拉箭头,选择应用程序,然后选择以下任意一个:
    • 文件
    • 文件夹
    • 签名
  3. 选择要添加的项目。
  4. 将“用户权限策略”设置为步骤 1 中创建的策略。
  5. 选择所有人节点。
  6. 将“安全级别”滑块拖动到受限制
  7. 保存配置。

当用户对应用程序的权限发生更改时,事件 9018 将进行审计。

降低正在运行的组件的用户权限

使用“用户权限管理”降低单个组件的权限,让非管理员的标准用户不能进行相应更改。

降低组件权限

  1. 在适用的“规则”节点下选择用户权限节点,例如, > 所有人节点。

  2. 在“权限管理”功能区中,选择添加项目 > 添加组件

    将显示“选择组件”对话框。

  3. 选择一个或多个想要降低权限的组件,然后单击确定

    使用“选择组件”对话框顶部的筛选条件,按操作系统筛选组件。

    选定的组件现已显示在工作区的“组件”选项卡上。

  4. 选择“用户权限策略”列中的下拉箭头,然后选择内建限制策略。
  5. 保存配置。

Services is a Control Panel component. 使用“用户权限管理”降低服务组件的权限,让非管理员的标准用户无法启动和停止服务。

  1. 在适用的“规则”节点下选择用户权限节点,例如, > 所有人节点。

  2. 在“权限管理”功能区中,选择添加项目 > 添加组件

    将显示“选择组件”对话框。

  3. 选择服务组件并单击确定

    使用“选择组件”对话框顶部的筛选条件,按操作系统筛选组件。

    选定的组件现已显示在工作区的“组件”选项卡中。

  4. 选择“用户权限策略”列中的下拉箭头,然后选择内建限制策略。
  5. 保存配置。

保护对话框

管理员可以使用 Application Control 和权限管理来提升标准用户的权限,让其获得管理权限。若允许用户拥有管理权限则会授予用户访问所有文件包括重要的系统文件的权限,以及删除或重命名文件的权限。这些操作可能会危及系统。

Application Control 和“权限管理”提供“保护常见对话框”的功能,可以禁止用户操作文件。通过对话框仍然能够打开并访问文件,但无法删除或重命名文件。

Application Control 不会限制用户访问通常可以访问的区域。

可以将权限提升到管理员级别并保护常见对话框

场景

  • 您是一名 IT 管理员
  • 您正在创建新的“用户权限策略”

进程

  1. 导航到 > 用户权限策略节点,然后在权限管理功能区上选择添加策略

    新策略已创建。

  2. 右键单击新策略,然后选择重命名
  3. 输入直观的策略名称,例如提升权限到管理员级别

  4. 选择新策略,然后在“权限管理”功能区上选择添加组操作

    将显示“帐户选择”对话框。

  5. 在“帐户”字段中键入管理员帐户,或使用浏览按钮搜索帐户。单击添加
  6. 在“操作”列中选择添加成员身份。此为默认设置。“添加成员身份”选项允许用户像特定组的成员一样运行应用程序。“删除成员身份”选项不允许用户运行应用程序。
  7. 选择适用组的用户权限节点,例如“所有人”组。
  8. 在“权限管理”功能区中,选择添加项目 > 应用程序 > 文件
  9. 将显示为用户权限管理添加文件对话框。
  10. 输入需要保护常用对话框的应用程序名称,或单击浏览按钮,浏览至该应用程序。
  11. 确保已选中应用到常用对话框选项。
  12. 单击添加
  13. 在“用户权限策略”列中选择在步骤 1 到步骤 6 中创建的策略。
  14. 保存配置。