系統控制項

在這個部分中:

• 關於系統控制項
• 解除安裝控制項項目
• 服務控制項項目
• 事件記錄控制項項目
• 處理序終止控制項項目

關於系統控制項

使用「系統控制項」來控制應用程式與處理序的移除或修改、特定服務的管理，以及具名事件記錄的清除。套用控制項可提高或限制存取指定項目的權限。

限制或提高安裝或解除安裝、修改或修復 Windows 10 桌面應用程式的能力，適用於可透過「控制台程式和功能」檢視存取的 MSI 與 .exe 型安裝程式。自 2020.2 應用程式控制 版起，在「Windwos 設定應用程式與功能」檢視中也同樣支援指派的權限。

「系統控制項」在各個規則群組的「使用者權限」節點上可用。

新增系統控制項

1. 選取所需規則群組的「使用者權限」節點。
2. 選取系統控制項標籤。
3. 按一下新增項目並選取所需系統控制項:
   • 解除安裝
   • 服務
   • 事件記錄
   • 處理序終止

   針對處理序規則，僅可新增「處理序終止」項目。

4. 填妥需要的詳細資訊並按一下確定。
5. 從原則欄中選取所需選項:
   • 內建限制權限 - 一律限制對具名項目的存取權限。
   • 內建提高權限 - 一律允許對具名項目的存取權限。
6. 按一下「權限管理」功能區內的新增項目並選取所需選項，即可設定更多項目。

7. 按一下按一下此處以設定在使用者存取系統控制項受限時所顯示的訊息連結，即可設定在使用者試圖解除安裝受限制程式或清理受限制事件記錄時顯示的訊息。

   如需詳細資訊，請參閱訊息設定。

按一下新增 Ivanti 元件和相依條件按鈕，藉此使用 AppSense* 自動預先填入解除安裝、服務和事件記錄控制項項目組態。也會新增其他需要的相依條件。此功能在限制管理權限時特別有效，能夠預防任何重大代理程式元件遭到變更。

解除安裝控制項項目

必須在設定「解除安裝控制項項目」之前啟用「應用程式存取控制項」。如需詳細資訊，請參閱原則設定。

使用此選項，可在規則條件相符時允許或限制解除安裝已安裝的應用程式。透過定義要控制哪些應用程式來設定「解除安裝控制項項目」。可套用進一步的驗證來鎖定具名發行者及特定應用程式版本。若要允許或限制某一發行者的所有應用程式，請於「應用程式」欄位輸入 * 號加上發行者的名稱。

如需使用「解除安裝控制項項目」的範例，請參閱提高群組權限 - 範例，允許解除安裝 Microsoft OneDrive。

AppSense 解除安裝控制項項目

AppSense 公司名稱已變更為 Ivanti，因此包含 AppSense* 解除安裝項目的 應用程式控制 組態將無法控制先前使用 AppSense 名稱的 Ivanti 產品。

在 10.1 FR1 (或更新版本) 控制台內開啟包含 AppSense* 解除安裝控制項項目的組態時，會顯示一個對話方塊。該對話方塊提供一個選項，可自動將 Ivanti* 新增至包含 AppSense* 的所有規則之中。透過比對「程式和功能」內顯示的名稱與發行者來解除安裝控制項功能。同意自動更新，可確保在部署組態至已重新品牌化 應用程式控制 10.1 FR1 (或更新版本) 代理程式時，已重新品牌化為 Ivanti 的 AppSense 產品仍可受相同的解除安裝控制項規範。

服務控制項項目

使用此選項來選取在「規則」條件相符時，可以修改、停止、啟動和重新啟動的服務。

「代理程式服務」是唯一一項停止後便無法重新啟動的服務。

「服務控制項項目」是透過指定服務名稱或服務已知之名稱進行設定。在不同的本地化作業系統中，服務顯示名稱可能有所不同。

如需使用「服務控制項項目」的範例，請參閱避免停止 Windows 防火牆服務。

事件記錄控制項項目

使用此選項來選取在「規則」條件相符時，可以或不能清除哪些事件記錄。事件記錄控制項項目是透過選取記錄名稱或要控制之記錄來進行設定。

如需使用「事件記錄控制項項目」的範例，請參閱防止清除系統記錄。

處理序終止控制項項目

使用此選項來防止所有使用者 (包括管理員) 終止特定處理序 (如防毒軟體)。使用者仍可恰當地停止處理序 (例如，按一下應用程式 UI 內的關閉)，但他們無法強制終止處理序 (例如，從「工作管理員」內的「詳細資料」索引標籤中結束工作)。可指定個別檔案，也可將特定資料夾內的所有處理序設為目標。

還可以選擇新增中繼資料，藉此包含用於比對檔案和資料夾的其他準則。

如需詳細資訊，請參閱中繼資料。

相關主題

自我提升權限

使用者權限控制的元件

使用者權限管理