自我提升權限
在這個部分中:
關於自我提升
「自我提高權限」可套用至通常需要管理權限才能執行及運作的簽章、檔案和資料夾。「自我提高權限」提供的選項可讓您從 Windows 檔案總管快速鍵功能表以提高的權限執行項目。當使用者嘗試提高指定項目的權限時,系統會顯示提示並要求使用者輸入提高權限的原因後再套用該項目。
請注意,根據以往慣例,自我提高權限選項會套用至原則內相符的規則項目。自 應用程式控制 2020.3 版起,可使用替代方法進行更精細的控制:
•規則項目應用程式可控制特定項目的選項 - 包括使用者權限原則的應用程式。可設為提示使用者選擇是否套用提高權限,並可要求使用者提供選擇提高權限的理由。如需詳細資訊,請參閱規則項目。
•自我提高權限允許設定及套用自訂權杖。請參閱下方的自我提升權限選項。
「自我提高權限」已經過稽核,因此您可以監視使用者通常要自我提高權限的應用程式類型。稽核可讓您識別這些項目並將其新增至組態中適當的「使用者權限」節點,讓使用者不需要透過要求即可存取這些項目。
在停用「使用者存取控制 (UAC)」的環境中,您可以使用自訂設定 SelfElevatePropertiesEnabled 來啟用 Windows 檔案總管檔案和資料夾內容的自我提高權限。在此情況中,您可以使用自訂設定 SelfElevatePropertiesMenuText 來自訂 Windows 檔案總管快速鍵功能表選項文字。
設定自我提升
- 選取適用群組的使用者權限節點,例如每個人群組。
- 選取自我提高權限索引標籤。
- 選取啟用自我提高權限並套用所需設定:
- 僅套用「自我提高權限」至下列清單所列項目
套用「自我提高權限」至所有項目,但下列清單所列項目除外
- 在「管理」功能區中,選取新增項目 > 自我提高權限並輸入或選擇檔案、資料夾、簽章或群組。
任何包含在自我提高權限檔案關聯清單中的檔案類型都可以是自我提高權限類型。
-
若要新增其他的驗證,請按一下中繼資料索引標籤並輸入說明、廠商以及檔案和產品的版本號碼等詳細資訊。
如果您不想要限制可自我提高權限的檔案,請將欄位保留空白。若已套用中繼資料,則項目必須符合中繼資料以自我提高權限。
- 儲存組態。
自我提升權限選項
指定應用程式在提高權限時如何執行,以藉此設定規則項目的「自我提高權限」選項。您也可以定義提高權限如何影響任何子處理序或共用對話方塊。
在「權限管理」功能區中,選取自我提高權限選項並設定需要的設定值:
- 將項目設為允許 - 將規則項目設為允許並覆寫任何相關聯的允許項目。
- 即使項目並非受信任所有者所擁有,仍允許執行 - 當選取「將項目設為允許」時可使用此選項。當選取此選項時,不論所有者是誰都會執行所有列出的規則項目。
- 套用至子處理序 - 依預設,「自我提高權限原則」會套用至並非由子處理序所繼承的規則項目。選取此選項,即可將原則套用至父處理序的子項目。
- 套用至共用對話方塊 - 當檔案或資料夾已提高權限時,提高「開啟檔案」和「儲存檔案」Windows 功能表選項的存取權限。
- 以受信任所有者身分安裝 - 針對由定義之應用程式所建立的所有檔案,將本機管理員設為檔案的所有者。此選項不適用於一般應用程式,僅適用於安裝程式套件。
- 隱藏自我提高權限項目的「以系統管理員身分執行」Windows 選項 - 在 Windows 檔案總管快速鍵功能表中隱藏「以系統管理員身分執行」選項。
- 原則 - 按一下箭頭圖示並選取需要的原則。
定義自訂使用者權限原則可讓您將自訂權杖指派給您的「自我提高權限」規則項目。
如需詳細資訊,請參閱使用者權限。 - 顯示一個訊息方塊,要求使用者提供自我提高權限的原因 - 提示使用者提供自我提高權限的原因。在自我提高權限訊息設定中設定訊息的內容及維度。
當瀏覽 OneDrive 檔案時,捷徑功能表內的「以系統管理員身分執行」選項將無法使用,直到檔案已經同步且在本機可用時,才能使用該選項。
自我提升檔案關聯。
設定檔案類型及關聯應用程式的清單,允許使用者使用已提高或管理權限開啟清單。使用者以滑鼠右鍵按一下檔案時,應用程式控制 會執行下列檢查以確定使用者是否能夠提高與檔案相關之應用程式的權限:
- 檔案類型是否存在於檔案關聯清單上?
- 否 - 檔案無法自我提高權限。
- 是 - 檢查關聯應用程式。
- 是否有關聯應用程式?
- 否 - 檔案運用使用者端點上的關聯應用程式自我提高權限。
- 是 - 僅於使用檔案關聯清單內指定之應用程式開啟檔案時,才能自我提高權限。
若應用程式可以自我提高權限,則捷徑功能表內會出現相應選項,而且使用者可使用提高的權限存取應用程式。若使用者將預設程式變更為與組態內設定之關聯應用程式不同的項目,便無法再使用捷徑功能表內的「自我提高權限」選項。
更新檔案關聯
- 在「管理」功能區中,按一下進階設定並選取自我提高權限檔案關聯索引標籤。
- 使用新增和移除按鈕來更新副檔名及關聯應用程式清單。任何副檔名均可新增。
下列副檔名依預設包含在內:
| 副檔名 | 關聯應用程式 |
|---|---|
| EXE | |
| BAT | |
| CMD | |
| VBS | wscript.exe |
| WSF | wscript.exe |
| VBE | wscript.exe |
| MSI | msiexec.exe |
| MSP | msiexec.exe |
| PS1 | powershell.exe |
| MSC | mmc.exe |
| REG | regedit.exe |
自我提升訊息設定
設定使用者在要求自我提高權限時顯示的訊息內容及維度。
若在自我提高權限選項中選取了顯示一個訊息方塊,要求使用者提供自我提高權限的原因選項,便會顯示訊息。
- 在「通用設定」功能區中,選取訊息設定。
- 選取自我提高權限索引標籤。
-
在「名稱」欄位中,輸入要顯示於自我提高權限捷徑功能表選項的文字。
當使用者以滑鼠右鍵按一下副檔名在自我提高權限檔案關聯清單上的檔案時,功能表選項隨即顯示。
- 設定使用者在要求自我提高權限時顯示之訊息的標題、內容及維度。
- 按一下確定。