群組規則

群組規則節點允許您使安全控制規則與企業內的特定使用者群組相符。

群組摘要顯示群組規則、文字安全性識別碼 (SID) 和規則的安全層級。應用程式控制 可讓您將四種不同的安全性層級指派至群組規則。SID 是可變長度的資料結構,用於識別使用者、群組和電腦帳戶。初次建立帳戶時,網路上的每個帳戶都會獲得唯一 SID。Windows 中的內部處理序是指帳戶 SID,而不是帳戶使用者或群組名稱。同樣地,除非在新增到組態時找不到使用者或群組 SID,否則 應用程式控制 也應會參照該 SID。

有兩種預先定義的群組規則:

  • 內建\管理員 -「內建\管理員」中的使用者會被指派「沒有限制」的安全性層級。「內建\管理員」群組是用於管理本機管理員的應用程式存取。

  • 每個人 -「每個人」群組規則和所有其他群組規則的安全性層級皆為「受限制」,除非使用者符合優先順序設定更高的其他群組或使用者規則。包括管理員在內的所有使用者都是「每個人」群組的一部分。這表示管理員同時適用兩個群組規則: 沒有限制的「內建\管理員」群組,以及受限制的「每個人」群組。應用程式控制 會使用限制最少的規則,因此所有管理員要求都不會受到限制。

    通常您會禁止「每個人」都可存取所有檔案、資料夾、磁碟機、簽章項目、網路連線項目和群組。然後您可以建立新群組或使用者,並指定該群組或使用者可存取的項目。這可讓您控制使用者可存取的項目。

如下管理群組規則:

  • 若要新增群組規則,按一下「規則」功能區上的新增規則,並選取群組規則

    「新增群組規則」對話方塊隨即顯示。藉由輸入或瀏覽以選取帳戶。

  • 若要移除群組規則,反白顯示該規則並按一下「規則」功能區上的移除規則

    確認訊息隨即顯示。按一下確認移除。

您也可以新增項目至各群組規則節點中的「允許的項目」、「拒絕的項目」、「受信任廠商」、「使用者權限」,以及「瀏覽器控制項」節點

如需詳細資訊,請參閱規則項目