使用者權限管理使用案例

使用者權限管理已有多項使用案例,並可解決許多企業迄今無法解決的問題。以下列舉幾個案例:

  • 讓使用者使用本機管理員帳戶的組織,可能需要鎖定桌面項目,例如: 控制台元件、新增硬體或新增和移除程式\程式和功能。針對特定控制項將使用者帳戶從管理員動態下放為標準使用者,便可禁止使用者存取控制項及執行不必要的工作。
  • 部分應用程式需要管理員權限的原因在於,應用程式其本身需與桌面作業系統或登錄的某些部分進行互動。不過,組織並不希望將完整的管理員帳戶提供給使用者。使用者權限管理可將指定應用程式的使用者權限提高至管理員層級,允許使用者執行應用程式的同時仍可保護桌面。
  • 部分應用程式的自動更新項目可能需要管理員權限才能執行更新動作,因此無法在標準使用者環境中正常運作。使用者權限管理可讓指定應用程式以管理員帳戶環境執行的同時,仍讓所有其他應用程式維持在標準使用者環境中執行。
  • 行動裝置使用者可能需要手動變更其 IP 位址、設定無線網路,或是變更日期和時間屬性,上述各項均需管理權限。
  • 使用者權限管理可將指定工作的使用者權限提高至管理員層級,讓使用者可進行必要變更。

提高使用者執行應用程式的權限

使用者通常需要管理權限以執行其職務。「使用者權限管理」允許您提高使用者權限,這樣他們便擁有指定應用程式的管理權限。若要提高使用者權限,您必須先建立原則,然後再將此套用至規則。

  1. 瀏覽至程式庫 > 使用者權限原則節點。
  2. 在「權限管理」功能區上,選取新增原則
  3. 選取並以滑鼠右鍵按一下新原則,並選取重新命名
  4. 為原則提供直覺式名稱,例如,提高管理權限

  5. 選取新原則,並在「權限管理」功能區內按一下新增群組動作

    「帳戶選項」對話方塊隨即顯示

  6. 瀏覽並選取要新增到原則的群組。

  7. 該群組會在「使用者權限原則」工作區域內的「群組成員資格」索引標籤中列出。

    請確保已在「動作」欄內指定新增成員資格。這允許使用者執行應用程式,就好像使用者是群組成員一樣。

    • 「群組成員資格」標籤用於指定應用程式可用來執行的認證。
    • 「權限」標籤提供使用者對於應用程式的權限的精細控制。
    • 「內容」標籤用於指定整合層級。低整合層級的應用程式無法與高整合層級的應用程式互通操作。
  1. 在導覽窗格中選取規則 > 群組> 每個人 > 使用者權限
  2. 在「權限管理」功能區上,選取新增項目下拉式箭頭並反白顯示應用程式,然後選取檔案資料夾簽章群組其中一項。
  3. 選取要新增的項目。
  4. 使用者權限原則設定為上述建立使用者權限管理原則步驟內建立的原則。
  5. 選取每個人節點。
  6. 將「安全性層級」滑塊拖曳到沒有限制以避免 應用程式控制 遭到封鎖。
  7. 儲存組態。

使用者的應用程式權限變更時,事件 9018 將進行稽核。

範例: 允許使用者執行 Visual Studio 和偵錯應用程式

使用者通常需要管理權限才能執行像是 Visual Studio 的程式,以及偵錯應用程式。使用「使用者權限管理」來提高指定應用程式的管理權限。

若要提高使用者管理權限,您必須先建立一個或多個可重覆使用的原則,然後將其套用至規則。

  1. 選取程式庫 > 使用者權限原則節點。
  2. 在「權限管理」功能區上選取新增原則
  3. 選取並以滑鼠右鍵按一下新原則,並選取重新命名
  4. 輸入原則的直覺式名稱,例如: 提高 Visual Studio 權限

  5. 在「權限管理」功能區上,按一下新增群組動作

    「帳戶選項」對話方塊隨即顯示。

  6. 瀏覽並選取要新增到原則的群組。

    該群組會新增至規則工作區域內的「群組成員資格」索引標籤中。

  7. 在索引標籤中,請確保已在「動作」欄內指定「新增成員資格」。

    這允許使用者執行應用程式,就好像使用者是群組成員一樣。

  1. 選取程式庫 > 使用者權限原則節點。
  2. 在「權限管理」功能區上選取新增原則
  3. 選取並以滑鼠右鍵按一下新原則,並選取重新命名
  4. 輸入原則的直覺式名稱,例如: 執行偵錯

  5. 選取「權限」索引標籤。

    權限工作區域隨即顯示。

  6. 在「動作」欄內選取偵錯權限的下拉式功能表,然後選取啟用
  1. 在導覽窗格中選取規則 > 群組節點。

  2. 選取「規則」功能區上的新增規則下拉式箭頭,並選取群組規則

    「新增群組規則」對話方塊隨即顯示。

  3. 將網域名稱輸入「帳戶」欄位。
  4. 按一下新增

  1. 選取您已建立規則下方的使用者權限節點。

    「使用者權限」工作區域隨即顯示。

  2. 在「權限管理」功能區中,選取新增項目 > 應用程式 > 檔案
    「新增使用者權限管理的檔案」對話方塊隨即顯示。
  3. 瀏覽並選取 Visual Studio 應用程式檔案。
  4. 選取套用原則至子處理序選項。

  5. 按一下新增

    可執行檔案的檔案路徑及名稱會新增至工作區域內的「應用程式」索引標籤中。

  6. 在索引標籤中,選取「使用者權限原則」欄內的提高 Visual Studio 權限原則。此為步驟 1 內建立的原則。

  1. 在「使用者權限」工作區域內,從「權限管理」功能區中選取新增項目 > 應用程式 > 檔案

    「新增使用者權限管理的檔案」對話方塊隨即顯示。

  2. 在「檔案」欄位內輸入 *。此舉是為了允許所有偵錯應用程式。
  3. 按一下新增

  4. 選取「使用者權限原則」欄內的執行偵錯原則。

    此為步驟 4 內建立的原則。

儲存組態。

提高使用者執行控制台元件的權限

許多漫遊使用者需要執行必須以管理員身分執行的多種工作,例如:

  • 安裝印表機
  • 變更網路和防火牆設定
  • 變更時間和日期
  • 新增和移除程式。

以上這些工作均需要以管理員身分執行的元件。

使用「使用者權限管理」來提高個別元件的權限,這樣非管理標準使用者便能進行變更以執行其職務。

提高元件的權限

  1. 選取適用「規則」節點下的使用者權限節點,例如群組 > 每個人節點。

  2. 在「權限管理」功能區上,選取新增項目 > 新增元件

    「選取組件」對話方塊隨即顯示。

  3. 選擇您想要提高權限的一個或多個元件,然後按一下確定

    使用「選取組件」對話方塊頂端的篩選器按作業系統篩選組件。

    現在元件會列在原則工作區域內的「元件」索引標籤中。

  4. 請確保已在「使用者權限原則」欄內選取內建提高權限原則。
  5. 儲存組態。

要執行磁碟重組必須有管理權限,而且會受到特定元件的規範。使用權限管理來提高此元件的使用者權限,藉此允許對方重組磁碟。

  1. 選取適用的「規則」節點,例如群組 > 每個人節點。

  2. 在「權限管理」功能區中,選取新增項目 > 新增元件

    「選取組件」對話方塊隨即顯示。

  3. 選取「磁碟重組」元件,然後按一下確定

    使用「選取組件」對話方塊頂端的篩選器按作業系統篩選組件。

    該組件將新增到規則的工作區域之中的「組件」標籤中。

  4. 選取「使用者權限原則」欄中的下拉式箭頭,並選取內建提高權限原則。
  5. 儲存組態。

更新 Microsoft Windows 的能力會受到特定元件的規範。使用權限管理來提高此元件的權限,這樣非管理標準使用者便能進行變更以執行其職務。

若要提高小程式的權限:

  1. 選取適用的「規則」節點,例如群組 > 每個人節點。

  2. 在「權限管理」功能區中,選取新增項目 > 新增元件

    「選取組件」對話方塊隨即顯示。

  3. 選取自動更新\Windows Update 元件,然後按一下確定

    使用「選取組件」對話方塊頂端的篩選器按作業系統篩選組件。

    該組件將新增到規則的工作區域之中的「組件」標籤中。

  4. 選取「使用者權限原則」欄中的下拉式箭頭,並選取內建提高權限原則。
  5. 儲存組態。

降低權限以限制應用程式權限

以管理員身分執行應用程式,能讓使用者有權變更許多不希望被變動的設定、安裝應用程式,並可能讓桌面連線至網際網路。使用「使用者權限管理」,可限制管理員層級使用者的執行權限,例如,將其限制在標準使用者模式下使用 Internet Explorer,藉此保護桌面安全。

若要提高使用者權限,您需要先建立原則,然後再將此套用至規則。

  1. 瀏覽程式庫 > 使用者權限原則節點。
  2. 在「權限管理」功能區上,選取新增原則
  3. 選取並以滑鼠右鍵按一下新原則,並選取重新命名
  4. 為原則提供直覺式名稱,例如,降低管理權限
  5. 選取新原則,並於「權限管理」功能區上選取新增群組動作
    「帳戶選項」對話方塊隨即顯示

  6. 瀏覽並選取要新增到原則的群組。這些是用於執行應用程式的帳戶認證。按一下新增

    該群組會在原則工作區域的「群組成員資格」索引標籤中列出。

  7. 選取「動作」欄內的捨棄成員資格
    • 「群組成員資格」標籤用於指定應用程式可用來執行的認證。
    • 「權限」標籤提供使用者對於應用程式的權限的精細控制。
    • 「內容」標籤用於指定整合層級。低整合層級的應用程式無法與高整合層級的應用程式互通操作。
  1. 導覽至規則 > 群組 > 每個人 > 使用者權限節點。
  2. 在「權限管理」功能區上,選取新增項目下拉式箭頭並指向應用程式,然後選取下列其中一項:
    • 檔案
    • 資料夾
    • 簽章
    • 群組
  3. 選取要新增的項目。
  4. 將「使用者權限原則」設定為步驟 1 所建立的原則。
  5. 選取每個人節點。
  6. 將「安全性層級」滑塊移至受限制
  7. 儲存組態。

使用者的應用程式權限變更時,事件 9018 將進行稽核。

降低使用者執行元件的權限

使用「使用者權限管理」來降低個別元件的權限,這樣非管理標準使用者便無法進行某些變更。

降低元件的權限

  1. 選取適用「規則」節點下的使用者權限節點,例如群組 > 每個人節點。

  2. 在「權限管理」功能區上,選取新增項目 > 新增元件

    「選取組件」對話方塊隨即顯示。

  3. 選擇您想要降低權限的一個或多個元件,然後按一下確定

    使用「選取組件」對話方塊頂端的篩選器按作業系統篩選組件。

    現在所選元件會顯示在工作區域內的「元件」索引標籤中。

  4. 選取「使用者權限原則」欄中的下拉式箭頭,並選取內建限制權限原則。
  5. 儲存組態。

Services is a Control Panel component. 使用「使用者權限管理」來降低服務元件的權限,這樣非管理標準使用者便無法啟動及停止服務。

  1. 選取適用「規則」節點下的使用者權限節點,例如群組 > 每個人節點。

  2. 在「權限管理」功能區上,選取新增項目 > 新增元件

    「選取組件」對話方塊隨即顯示。

  3. 選取服務元件,然後按一下確定

    使用「選取組件」對話方塊頂端的篩選器按作業系統篩選組件。

    現在所選元件會顯示在工作區域內的「元件」索引標籤中。

  4. 選取「使用者權限原則」欄中的下拉式箭頭,並選取內建限制權限原則。
  5. 儲存組態。

安全對話方塊

管理員可使用 應用程式控制 和權限管理來提高標準使用者權限,使其獲得管理權限。允許使用者擁有管理權限,將授權對方存取所有檔案,包括重要的系統檔案,以及諸如刪除或重新命名這些檔案的能力。這些動作有可能危害系統。

應用程式控制 和權限管理設有「安全共用對話方塊」功能,可禁止使用者操縱檔案。對話方塊仍會開啟並可供存取檔案,不過無法刪除或重新命名檔案。

對於使用者普遍有權存取的區域,應用程式控制 並不會對存取加以限制。

提高為管理員權限以及安全共用對話方塊

狀況

  • 您是 IT 管理員
  • 您即將建立新的「使用者權限」原則

處理序

  1. 導覽至程式庫 > 使用者權限原則節點並選取權限管理功能區上的新增原則

    新原則隨即建立。

  2. 以滑鼠右鍵按一下新原則,並選取重新命名
  3. 輸入原則的直覺式名稱,例如: 提高為管理員權限

  4. 選取新原則並選取「權限管理」功能區上的新增群組動作

    「帳戶選項」對話方塊隨即顯示。

  5. 在「帳戶」欄位內輸入管理員帳戶,或是使用瀏覽按鈕來搜尋帳戶。按一下新增
  6. 請確保已在「動作」欄內選取新增成員資格。這是預設設定。「新增成員資格」選項可允許使用者執行應用程式,就好像使用者是屬於特定群組的成員一樣。「捨棄成員資格」選項不允許使用者執行應用程式。
  7. 選取適用群組的使用者權限節點,例如「每個人」群組。
  8. 在「權限管理」功能區上,選取新增項目 > 應用程式 > 檔案
  9. 新增使用者權限管理的檔案對話方塊隨即顯示。
  10. 輸入您要為其保護共用對話方塊的應用程式名稱,或是按一下瀏覽按鈕並瀏覽至該應用程式。
  11. 請確保已選取套用至共用對話方塊選項。
  12. 按一下新增
  13. 請確保已在「使用者權限原則」欄內選取步驟 1 至 6 中所建立的原則。
  14. 儲存組態。