用户权限规则

对于“用户权限”节点中的任何规则,规则匹配时,您可以选择应用于文件、文件夹、签名、组和 Windows 组件的“用户权限策略”。您可以通过配置自行提升,允许用户使用提升后的用户权限来运行项目。您还可以使用系统控件来限制用户卸载或修改所选应用程序、管理指定服务或清除事件日志的能力。

选择要配置的规则的“用户权限”节点。工作区将显示四个选项卡:应用程序、组件、自行提升和系统控件。

在此部分:

应用程序

点击“权限管理”功能区中的添加项目,可将文件、文件夹、签名或组添加到“应用程序”选项卡中。该项目列在“项目”、“策略”和“描述”列下的选项卡中。如需更改应用于文件、文件夹或签名的策略,请双击该项目以访问编辑对话框。从策略下拉列表中选择要应用的策略。

有关添加项目的详细信息,请参阅规则项目

组件

由于“管理控制台”管理单元和“控制面板小程序”不是可执行文件,因此无法使用单个可执行文件进行权限提升。相反,必须使用命令行匹配对其进行提升。但是,“组件”部分提供了配置这些项目的快捷方式。每个快捷方式都相当于具有指定参数的“添加文件 UPM”策略。

命令行参数和生成机制因个人用户所使用的操作系统而异。

“控制面板”组件以及“网络适配器”的功能和函数通常由 explorer.exe 控制。不建议将 explorer.exe 提升为在本地管理员的上下文中运行,因为这样会引发安全问题。可以在不改变任何与 explorer.exe 关联的权限的情况下提升或限制 Windows 组件。

使用“选择组件”对话框中的筛选器来筛选操作系统所支持的组件。

  1. 在导航窗格中展开适用的组规则,然后选择用户权限节点。
  2. 在工作区中选择组件选项卡。

  3. 在“权限管理”功能区中,选择添加项目 > 添加组件

    将显示“选择组件”对话框。

  4. 选择您想要用户以管理员身份运行的组件,例如“添加和删除程序\程序和功能”。

  5. 单击确定

    该组件现已列在“组件”选项卡中。

  6. 请执行以下操作之一:
    • 如需提升所选组件的权限,请从“用户权限策略”列的下拉列表中选择内建提升
    • 如需限制所选组件的权限,请从“用户权限策略”列的下拉列表中选择内置限制
  7. 保存配置。

UAC 替换

UAC 替换已引入 Application Control 2020.2 版本,是对 Application Control 中现有自行提升功能的补充。此功能可以检测所选应用程序是否会显示 UAC 提示,如有显示,则允许管理员确定访问权限。
有关详细信息,请参阅 UAC 替换

自行提升

“自行提升”可应用于通常需要管理权限才能运行的签名、文件和文件夹项目。“自行提升”还提供了一个位于 Windows 资源管理器的上下文菜单中的选项,可运行拥有提升权限的项目。当用户尝试提升指定项目的权限时,可通过配置提示,请求用户在应用之前输入提升权限的原因。

有关详细信息,请参阅自行提升

系统控件

“系统控件”可用于允许或阻止指定服务停止、清除事件日志以及卸载或修改特定的应用程序。

有关详细信息,请参阅系统控件

相关主题

用户权限管理

规则类型

规则项目

允许的项目

拒绝的项目

可信供应商

浏览器控件