Konfigurationseinstellungen für die Berechtigungsverwaltung
Self-Elevation
Self-Elevation kann auf Dateien, Ordner, Datei-Hashes und Regelsammlungen angewendet werden, für deren Ausführung in der Regel Administratorrechte erforderlich sind. Self-Elevation bietet eine Option zum Ausführen eines Elements mit erhöhten Rechten, die über das Kontextmenü von Windows Explorer verfügbar ist. Sie können angeben, dass ein Benutzer, der versucht, ein bestimmtes Element mit erweiterten Rechten auszuführen, aufgefordert wird, einen Grund dafür einzugeben.
Self-Elevation wird geprüft, d. h. Sie können überwachen, welche Arten von Anwendungen die Benutzer üblicherweise mit erhöhten Rechten ausführen möchten. Sie können diese Elemente zum jeweiligen Berechtigungsverwaltungsknoten einer Konfiguration hinzufügen, sodass Benutzer diese Elemente ohne Anfrage aufrufen können.
In Umgebungen, in denen die Benutzerzugriffssteuerung deaktiviert ist, können Sie die Self-Elevation von Windows Explorer-Datei- und Ordnereigenschaften mithilfe der benutzerdefinierten Einstellung "SelfElevatePropertiesEnabled" aktivieren. In dem Fall können Sie den Text der Windows Explorer-Kontextmenüoption mithilfe der benutzerdefinierten Einstellung "SelfElevatePropertiesMenuText" anpassen.
Der Knoten "Konfigurationseinstellungen > Berechtigungsverwaltung" dient zum Konfigurieren einer Liste mit Dateitypen und zugehörigen Anwendungen, welche die Benutzer mit erweiterten Rechten oder Administratorrechten öffnen können. Wenn ein Benutzer mit der rechten Maustaste auf eine Datei klickt, führt Application Control die folgenden Prüfungen durch, um zu bestimmen, ob der Benutzer die Rechte für die mit der Datei verknüpften Anwendung erweitern darf:
- Befindet sich der Dateityp in der Liste der Dateiverknüpfungen?
- Nein – Die Rechte für die Datei dürfen nicht erweitert werden.
- Ja – Die verknüpfte Anwendung wird überprüft.
- Gibt es eine verknüpfte Anwendung?
- Nein – Die Rechte für die Datei werden unter Verwendung der verknüpften Anwendung auf dem Endpunkt des Benutzers erweitert.
- Ja – Die Rechte für die Datei dürfen nur erweitert werden, wenn sie mit der Anwendung geöffnet wird, die in der Liste der Dateiverknüpfungen angegeben ist.
Falls die Rechte für die Datei erweitert werden dürfen, ist im Kontextmenü eine entsprechende Option verfügbar. Der Benutzer kann dann mit erweiterten Rechten auf die Anwendung zugreifen. Ändert ein Benutzer ein Standardprogramm in ein Programm ab, das von der in der Konfiguration festgelegten, verknüpften Anwendung abweicht, ist die Self-Elevation-Option nicht mehr im Kontextmenü verfügbar.
Optionen
Fenster anzeigen, in das der Anwender einen Grund für die Self-Elevation eingeben muss – Wählen Sie diese Option aus, wenn Sie möchten, dass dem Benutzer eine Meldung angezeigt wird, in der er aufgefordert wird, einen Grund für seine Self-Elevation-Anfrage einzugeben.
Die Meldung kann unter Konfigurieren von Nachrichteneinstellungen > Berechtigungsverwaltung konfiguriert werden.
Dateiverknüpfungen aktualisieren
Wechseln Sie zur Application Control-Konfiguration und wählen Sie "Konfigurationseinstellungen > Berechtigungsverwaltung" aus.
Aktualisieren Sie die Liste der Erweiterungen und verknüpften Anwendungen, indem Sie mit der rechten Maustaste klicken und Hinzufügen, Bearbeiten oder Entfernen auswählen. Es kann jede beliebige Dateierweiterung hinzugefügt werden.
Die folgenden Erweiterungen sind standardmäßig enthalten:
| Dateierweiterung | Verknüpfte Anwendung |
|---|---|
| EXE | |
| BAT | |
| CMD | |
| VBS | wscript.exe |
| WSF | wscript.exe |
| VBE | wscript.exe |
| MSI | msiexec.exe |
| MSP | msiexec.exe |
| PS1 | powershell.exe |
| MSC | mmc.exe |
| REG | regedit.exe |
Verwandte Themen
Regelsatz für die Berechtigungsverwaltung
Konfigurationseinstellungen für Application Control
Konfigurationseinstellungen für die Kontrolle ausführbarer Dateien