允許的項目

在這個部分中:

關於允許的項目

新增允許的項目至群組規則,以便授予使用者存取特定項目的權限,而無需提供相應完整的管理權限。允許的項目會在選取的群組規則下的「允許的項目」清單中顯示:

若僅指定了檔案名稱 (例如 myapp.exe),則無論應用程式位於何處,會一律允許所有此類執行個體。若指定了檔案的完整路徑 (例如: \\servername\sharename\myapp.exe),則僅會允許該應用程式的此一執行個體。此應用程式的其他執行個體必須滿足其他「應用程式管理員」規則才能獲准執行。針對「應用程式管理員」內參照 DFS 共用上項目的檔案及資料夾,您需要指定目標伺服器,而非 UNC 路徑中的「命名空間」伺服器。

如需詳細資訊,請參閱分散式檔案系統

可指定完整資料夾 (例如 \\servername\servershare\myfolder),這樣,此資料夾內的所有應用程式及所有子資料夾 (如果需要) 均會獲准執行。系統不會對資料夾中的檔案進行檢查,因此任何複製至此資料夾的檔案均會獲准執行。選取包含子目錄以包含指定目錄下的所有目錄。若您新增了網路檔案或資料夾路徑,則必須使用 UNC 名稱,因為「應用程式管理員」代理程式會忽略任何設定路徑中磁碟機代號並非本機固定磁碟的項目。使用者可透過網路對應的磁碟機代號來存取網路應用程式,因為在根據組態設定驗證路徑之前,該路徑已轉換為 UNC 格式。若要自動套用環境變數,請於新增檔案新增資料夾對話方塊中選取可能的話,替換環境變數。此方式可讓路徑變得更為通用,方便套用至不同的機器。萬用字元支援對指定通用檔案路徑而言,可提供額外的控制層級。

您可以指定完整磁碟機 (例如 W),如此一來,此磁碟機上的所有應用程式 (包括子資料夾) 均會獲准執行。系統不會對磁碟機內的檔案進行檢查,因此複製至此磁碟機上任何資料夾的任何檔案均會獲准執行。

檔案可連同檔案的數位雜湊一同新增。此舉可確保僅會執行該特定檔案,但執行位置不受限制。如需詳細資訊,請參閱「簽章雜湊」。

可指定網路連線項目。網路上的所有檔案均會獲准執行。

選擇要允許哪些 Windows 市集應用程式。您可選取下列其中一項:

  • 允許所有已安裝應用程式
  • 允許選取的個別應用程式
  • 允許指定發行者的所有應用程式

群組可包含任意數量與組合的項目,例如: 特定應用程式的「檔案」、「資料夾」、「磁碟機」、「簽章」與「網路」。所有檔案均獲准執行。

新增允許的項目

  1. 規則 > 群組 > 每個人中選取「允許的項目」節點。
  2. 按一下新增項目,然後從下拉式箭頭中選取允許

  3. 選取要允許的項目,例如「檔案」。

    「新增檔案」對話方塊隨即顯示。

  4. 輸入或瀏覽要允許的檔案。

    在預設情況下,會選取可能的話,替換環境變數核取方塊。如果未選取,則環境變數不會取代為通用環境變數。

  5. 如果適用,請於「說明」欄位內輸入與允許的項目相關的任何進一步資訊。
  6. 若您希望不論檔案所有者是誰都要執行檔案,請選取即使檔案並非受信任所有者所擁有,仍允許執行
  7. 如果您要擷取此項目的所有事件,忽略事件篩選中的設定,請選擇忽略稽核事件篩選

選取的項目會列在「允許的項目」工作區域內。

如果要停用特定規則項目,請反白顯示該項目,並以滑鼠右鍵按一下來選取變更狀態。這會在停用和啟用之間切換。需要使用支援進行疑難排解時,可使用此項目。

移除允許的項目

  1. 規則 > 群組 > 每個人中選取「允許的項目」節點。
  2. 反白顯示要移除的項目。

  3. 按一下「規則項目」功能區內的移除項目

    「移除項目」對話方塊隨即顯示。

  4. 按一下可移除項目,或按一下可中止工作。

選取的應用程式會列在「允許的項目」工作區域內。

存取時間

存取時間可讓您指定允許執行特定應用程式的時間及日期,並且可以套用至群組、使用者、裝置、自訂指令碼與處理序規則的「允許的項目」。僅在新增或修改允許的項目,並於「存取時間」索引標籤勾選僅允許在特定存取時間執行檔案選項時,才能指派存取時段。可使用「規則項目」功能區內的「存取時間」選項來修改時間。可針對檔案、資料夾與允許簽名的項目新增存取時間。

指定存取時間

此工作說明如何為允許的項目指定存取時間:

  1. 規則 > 群組 > 每個人中選取允許的項目節點。

    基於示範用途,在此使用「每個人」群組。實際將依您選擇的群組而有所不同。

  2. 按一下新增項目,然後從下拉式箭頭中選取允許

  3. 選取要允許的項目,例如「檔案」。

    「新增檔案」對話方塊隨即顯示。

  4. 輸入或瀏覽要允許的檔案。
  5. 從「存取時間」索引標籤選取僅允許在特定存取時間執行檔案
  6. 對可存取項目使用滑鼠右鍵按一下時間和日期,接著選取新增允許期間。若要新增任何其他存取時間,請重複以上步驟。
  7. 在選取所有允許期間後,按一下新增

應用程式限制

「應用程式限制」允許您指定使用者於工作階段可執行應用程式的次數。在新增或編輯「允許的項目」,並於「應用程式限制」索引標籤內勾選啟用應用程式限制選項時,可以設定限制。一經新增項目至規則,您就能在「規則項目」功能區使用「應用程式限制」選項。以工作階段為基礎的應用程式限制,僅能套用至群組、使用者、裝置、自訂、已編寫指令碼與處理序規則的「允許的項目」。您可以使用「訊息設定」對話方塊來設定訊息,以便在超出時間限制時向使用者顯示,而您可在「通用設定」功能區內存取該對話方塊。

套用應用程式限制

  1. 規則 > 群組 > 每個人中選取「允許的項目」節點。

    基於示範用途,在此使用「每個人」群組。

  2. 按一下新增項目,然後從下拉式箭頭中選取允許

  3. 選取要設為允許的項目,例如「檔案」。

    「新增檔案」對話方塊隨即顯示。

  4. 輸入或瀏覽要允許的檔案。
  5. 從「應用程式限制」索引標籤選取啟用應用程式限制
  6. 選取應用程式限制。
  7. 按一下新增

允許的項目和受信任擁有權

預設情況下,受信任擁有權檢查啟用時,應用程式就必須一律通過受信任擁有權檢查 (如有啟用),即使應用程式是允許的項目亦然。儘管可徹底停用受信任擁有權檢查,但不建議您這麼做。然而,若您需要對使用者提供非受信任使用者所擁有之檔案、資料夾或群組的存取權限,則您在建立或編輯項目時,可透過勾選即使檔案並非受信任所有者所擁有,仍允許執行選項的方式來停用受信任擁有權檢查。

相關主題

規則類型

規則項目

允許的項目

受信任廠商

使用者權限規則

瀏覽器控制項