Regelsatz für die Berechtigungsverwaltung

Inhalt dieses Abschnitts:

Anwendungen

Um ein Element zu deaktivieren, markieren Sie es, klicken Sie mit der rechten Maustaste darauf und wählen Sie Status ändern aus. Daraufhin ändert sich der Status von aktiviert in deaktiviert. Diese Funktion bietet sich an, wenn Sie beispielsweise Probleme mit dem Support beheben möchten.

  1. Wählen Sie den Knoten Berechtigungsverwaltung für einen Regelsatz aus.
  2. Klicken Sie mit der rechten Maustaste und wählen Sie Anwendung > Datei aus.
    Das Dialogfeld "Datei für die Verwaltung von Benutzerrechten hinzufügen" wird angezeigt.
  3. Klicken Sie auf der Registerkarte "Eigenschaften" auf die Auslassungspunkte (...) im Textfeld:
  4. Navigieren Sie im Dialogfeld "Öffnen" zu der hinzuzufügenden Datei und klicken Sie auf OK.

    5. Falls erforderlich, können Sie Folgendes auswählen:

      • Umgebungsvariablen möglichst ersetzen
      • Regulären Ausdruck verwenden
      • Datei als zulässiges Element festlegen. Wenn Sie diese Option wählen, können Sie außerdem die Ausführung der Datei zulassen, selbst wenn sie keinem vertrauenswürdigen Besitzer gehört.
  5. Geben Sie optionale Befehlszeilenargumente in das Textfeld Argumente ein. Geben Sie alle Argumente ein, wie sie im Prozessexplorer angezeigt werden.
  6. Durch Befehlszeilenargumente werden die Übereinstimmungskriterien gegenüber dem Feld "Datei" erweitert. Wird ein Argument hinzugefügt, müssen sowohl Datei und Argument erfüllt sein, damit dies als Übereinstimmung zählt. Es kann jedes Argument hinzugefügt werden, das in der Befehlszeile für einen Prozess angezeigt wird, z. B. Kennzeichnungen, Switches, Dateien und GUIDs.

Verweigerte Datei

Zulässige Datei

Ergebnis

shutdown.exe

shutdown.exe

Argumente: -r -t 30

"shutdown.exe" wird nur ausgeführt, wenn "-r -t 30" in der Befehlszeile angegeben ist; alles andere, was mit "shutdown.exe" ausgeführt werden soll, wird verweigert.

Damit die Argumente eines zulässigen oder verweigerten Arguments korrekt konfiguriert werden können, müssen sie wie im Prozesseditor angezeigt werden, zum Beispiel:

Datei: C:\Programme\Microsoft Office\Root\Office16\WINWORD.EXE

Befehlszeile: "C:\Programme\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\beispiel.docx

Die Konfiguration würde wie folgt aussehen:

Datei: Absoluter oder relativer Pfad von "winword.exe"

Argumente: /n C:\beispiel.docx

  1. Wählen Sie zum Anwenden einer Richtlinie die Richtlinie aus der Dropdownliste des Bereichs "Richtlinie" aus.
  2. Sie können folgende Optionen für die Richtlinie festlegen:
    • Auf untergeordnete Prozesse anwenden
    • Auf allgemeine Dialogfelder anwenden
    • Als vertrauenswürdiger Besitzer installieren
  3. Geben Sie optional eine Beschreibung für die Datei ein, um sie später besser identifizieren zu können.
  4. Um Metadaten zur Datei hinzuzufügen, wählen Sie die Registerkarte Metadaten aus.
  5. Damit die Felder automatisch ausgefüllt werden, wählen Sie Metadaten aus Datei eintragen aus.

    6. Folgende Felder können ausgefüllt werden: Produktname, Anbieter, Unternehmensname, Dateibeschreibung, Dateiversion und Produktversion.

    Sie können sämtliche Daten verfeinern. Markieren Sie dazu das jeweilige Kontrollkästchen und bearbeiten Sie die Felder.

    Wenn die Metadaten für Anbieter aktiviert sind, ist zusätzlich die Option Zertifikat zur Laufzeit verifizieren verfügbar. Wenn diese Option aktiviert ist, verifiziert der Agent das Zertifikat während des Dateiabgleichs. Klicken Sie auf Verifizierungsoptionen, um Zugriff auf einen weiteren Kriteriensatz zu erhalten, der während des Dateiabgleichs verwendet wird.

    Weitere Informationen finden Sie unter Verifizierungsoptionen.

  6. Klicken Sie auf Hinzufügen, um die Datei zum Regelsatz hinzuzufügen.
    Das Dateielement wird zur Anwendungsansicht des Arbeitsbereichs "Berechtigungsverwaltung" hinzugefügt.
  1. Wählen Sie den Knoten Berechtigungsverwaltung für einen Regelsatz aus.
  2. Klicken Sie mit der rechten Maustaste und wählen Sie Anwendung > Ordner aus.
    Das Dialogfeld "Ordner für die Verwaltung von Benutzerrechten hinzufügen" wird angezeigt.
  3. Klicken Sie auf der Registerkarte "Eigenschaften" auf die Auslassungspunkte (...) im Textfeld:
  4. Navigieren Sie im Dialogfeld "Öffnen" zu dem hinzuzufügenden Ordner und klicken Sie auf OK.

    5. Falls erforderlich, können Sie Folgendes auswählen:

    • Umgebungsvariablen möglichst ersetzen
    • Unterordner einbeziehen
    • Regulären Ausdruck verwenden
    • Ordner als zulässiges Element festlegen. Wenn Sie diese Option wählen, können Sie außerdem die Ausführung der Dateien zulassen, selbst wenn sie keinem vertrauenswürdigen Besitzer gehören.
  5. Wählen Sie zum Anwenden einer Richtlinie die Richtlinie aus der Dropdownliste des Bereichs "Richtlinie" aus.
  6. Sie können folgende Optionen für die Richtlinie festlegen:
    • Auf untergeordnete Prozesse anwenden
    • Auf allgemeine Dialogfelder anwenden
    • Als vertrauenswürdiger Besitzer installieren
  7. Geben Sie optional eine Beschreibung für den Ordner ein, um ihn später besser identifizieren zu können.
  8. Um Metadaten zum Ordner hinzuzufügen, wählen Sie die Registerkarte Metadaten aus:
  9. Damit die Felder automatisch ausgefüllt werden, wählen Sie Metadaten aus Datei eintragen aus.

    10. Folgende Felder können ausgefüllt werden: Produktname, Anbieter, Unternehmensname, Dateibeschreibung, Dateiversion und Produktversion.

    Sie können sämtliche Daten verfeinern. Markieren Sie dazu das jeweilige Kontrollkästchen und bearbeiten Sie die Felder.

    Wenn die Metadaten für Anbieter aktiviert sind, ist zusätzlich die Option Zertifikat zur Laufzeit verifizieren verfügbar. Wenn diese Option aktiviert ist, verifiziert der Agent das Zertifikat während des Dateiabgleichs. Klicken Sie auf Verifizierungsoptionen, um Zugriff auf einen weiteren Kriteriensatz zu erhalten, der während des Dateiabgleichs verwendet wird.

    Weitere Informationen finden Sie unter Verifizierungsoptionen.

  10. Klicken Sie auf Hinzufügen, um den Ordner zum Regelsatz hinzuzufügen.
    Das Ordnerelement wird zur Anwendungsansicht des Arbeitsbereichs "Berechtigungsverwaltung" hinzugefügt.

Mithilfe dieser Option können Sie einen neuen Datei-Hash angeben, auf den die ausgewählte Richtlinie angewendet wird. Gehen Sie folgendermaßen vor, um ausführliche Informationen zum Hinzufügen eines Datei-Hashes zu erhalten:

  1. Wählen Sie den Knoten Berechtigungsverwaltung für einen Regelsatz aus.
  2. Klicken Sie mit der rechten Maustaste und wählen Sie Anwendung > Datei-Hash aus.
    Das Dialogfeld "Datei-Hash für die Verwaltung von Benutzerrechten hinzufügen" wird angezeigt.
  3. Klicken Sie auf der Registerkarte "Eigenschaften" auf die Auslassungspunkte (...) im Textfeld:
  4. Navigieren Sie im Dialogfeld "Öffnen" zu dem hinzuzufügenden Datei-Hash und klicken Sie auf OK.
    • Datei-Hash als zulässiges Element festlegen. Wählen Sie diese Option aus, um den Datei-Hash zur Liste der zulässigen Elemente hinzuzufügen.
  5. Geben Sie optionale Befehlszeilenargumente in das Textfeld Argumente ein. Geben Sie alle Argumente ein, wie sie im Prozessexplorer angezeigt werden.
  6. Durch Befehlszeilenargumente werden die Übereinstimmungskriterien gegenüber dem Feld "Datei" erweitert. Wird ein Argument hinzugefügt, müssen sowohl Datei und Argument erfüllt sein, damit dies als Übereinstimmung zählt. Es kann jedes Argument hinzugefügt werden, das in der Befehlszeile für einen Prozess angezeigt wird, z. B. Kennzeichnungen, Switches, Dateien und GUIDs.
  7. Wählen Sie zum Anwenden einer Richtlinie die Richtlinie aus der Dropdownliste des Bereichs "Richtlinie" aus.
  8. Sie können folgende Optionen für die Richtlinie festlegen:
    • Auf untergeordnete Prozesse anwenden
    • Auf allgemeine Dialogfelder anwenden
    • Als vertrauenswürdiger Besitzer installieren
  9. Geben Sie optional eine Beschreibung für den Datei-Hash ein, um ihn später besser identifizieren zu können.
  10. Der Datei-Hash-Wert wird angezeigt. Klicken Sie auf Neu scannen, um den Datei-Hash zu aktualisieren.
  11. Klicken Sie auf Hinzufügen, um den Datei-Hash zum Regelsatz hinzuzufügen.
    Das Datei-Hash-Element wird zur Anwendungsansicht des Arbeitsbereichs "Berechtigungsverwaltung" hinzugefügt.
  1. Wählen Sie den Knoten Berechtigungsverwaltung für einen Regelsatz aus.
  2. Klicken Sie mit der rechten Maustaste und wählen Sie Anwendung > Regelsammlung aus.
    Das Dialogfeld zum Auswählen der Regelsammlung wird angezeigt.
  3. Markieren Sie für alle Sammlungen, die Sie dem Regelsatz hinzufügen möchten, das Kontrollkästchen Zu Regel hinzufügen.
  4. Nach Auswahl einer Sammlung können Sie folgende Einstellungen festlegen:
    • Als zulässig festlegen – Die Regelsammlung wird als zulässiges Element festgelegt.
    • Nicht vertrauenswürdigen Besitzer zulassen – Wenn Als zulässig festlegenausgewählt wurde, können Sie außerdem die Ausführung der Dateien zulassen, selbst wenn sie keinem vertrauenswürdigen Besitzer gehören.
    • Auf untergeordnete Prozesse anwenden – Die Einstellungen werden auf alle untergeordneten Prozesse angewendet.
    • Auf allgemeine Dialogfelder anwenden – Die Einstellungen werden auf allgemeine Dialogfelder angewendet.
    • Als vertrauenswürdiger Besitzer installieren – Die Installation erfolgt als vertrauenswürdiger Besitzer.
  5. Klicken Sie auf OK, um die Sammlung(en) zur Ansicht "Anwendungen" des Arbeitsbereichs "Berechtigungsverwaltung" hinzuzufügen.

Komponenten

Mit Komponente hinzufügen wird das Dialogfeld "Komponenten auswählen" angezeigt.

Filtern Sie die Ansicht nach unterstützten Betriebssystemen und wählen Sie den Namen der Systemsteuerung und der Verwaltungs-Snap-In-Komponenten aus, die Sie der Regel hinzufügen möchten.

Self-Elevation

Self-Elevation anwenden – Mit dieser Option aktivieren Sie die Self-Elevation und- wenden die erforderliche Einstellung an:

  • Self-Elevation nur auf die Elemente in nachfolgender Liste anwenden
  • Self-Elevation auf alle Elemente außer auf die in nachfolgender Liste anwenden

Optionen – Hiermit zeigen Sie das Dialogfeld "Self-Elevation-Optionen" an.

Self-Elevation-Optionen

Option Beschreibung
Element(e) als zulässig festlegen Die Regelelemente werden als zulässig festgelegt und alle etwaig verknüpften Regelelemente werden überschrieben.
Ausführung der Elemente zulassen, auch wenn sie keinem vertrauenswürdigen Besitzer gehören

  • Diese Option ist verfügbar, wenn "Element(e) als zulässig festlegen" ausgewählt wurde. Wenn diese Option aktiviert ist, werden alle aufgeführten Regelelemente ausgeführt, unabhängig davon, wem sie gehören.

    		•
    Auf untergeordnete Prozesse anwenden Standardmäßig wird die auf Regelelemente angewendete Self-Elevation-Richtlinie nicht von den untergeordneten Prozessen übernommen. Aktivieren Sie diese Option, damit die Richtlinie auch auf die direkt untergeordneten Elemente des übergeordneten Prozesses angewendet wird.
    Auf allgemeine Dialogfelder anwenden Erweitern Sie den Zugriff auf die Windows-Menüoptionen "Datei öffnen" und "Datei speichern", wenn eine Datei oder ein Ordner mit erweiterten Rechten versehen wurden. Standardmäßig werden allgemeine Dialogfelder nicht erweitert.
    Als vertrauenswürdiger Besitzer installieren Legen Sie den lokalen Administrator als Besitzer aller Dateien fest, die durch die definierte Anwendung erstellt werden. Diese Option wird nicht auf reguläre Anwendungen angewendet, sondern nur auf Installationspakete.
    Windows-Option "Als Administrator ausführen" für Elemente mit Self-Elevation ausblenden Blenden Sie die Option "Als Administrator ausführen" aus dem Windows-Verknüpfungsmenü aus.
    1. Wählen Sie den Knoten Berechtigungsverwaltung für einen Regelsatz aus.
    2. Klicken Sie mit der rechten Maustaste und wählen Sie Self-Elevation > Datei aus.
      Das Dialogfeld "Datei für Self-Elevation hinzufügen" wird angezeigt.
    3. Klicken Sie auf der Registerkarte "Eigenschaften" auf die Auslassungspunkte (...) im Textfeld:
    4. Navigieren Sie im Dialogfeld "Öffnen" zu der hinzuzufügenden Datei und klicken Sie auf OK.

      5. Falls erforderlich, können Sie Folgendes auswählen:

      • Umgebungsvariablen möglichst ersetzen
      • Regulären Ausdruck verwenden
    5. Geben Sie optional eine Beschreibung für den Ordner ein, um ihn später besser identifizieren zu können.
    6. Wählen Sie die Registerkarte "Metadaten" aus.
    7. Damit die Felder automatisch ausgefüllt werden, wählen Sie Metadaten aus Datei eintragen aus.

      8. Folgende Felder können ausgefüllt werden: Produktname, Anbieter, Unternehmensname, Dateibeschreibung, Dateiversion und Produktversion.

      Sie können sämtliche Daten verfeinern. Markieren Sie dazu das jeweilige Kontrollkästchen und bearbeiten Sie die Felder.

      Wenn die Metadaten für Anbieter aktiviert sind, ist zusätzlich die Option Zertifikat zur Laufzeit verifizieren verfügbar. Wenn diese Option aktiviert ist, verifiziert der Agent das Zertifikat während des Dateiabgleichs. Klicken Sie auf Verifizierungsoptionen, um Zugriff auf einen weiteren Kriteriensatz zu erhalten, der während des Dateiabgleichs verwendet wird.

      Weitere Informationen finden Sie unter Verifizierungsoptionen.

    8. Klicken Sie auf Hinzufügen, um die Datei zum Regelsatz hinzuzufügen.
      Das Dateielement wird zur Self-Elevation-Ansicht des Arbeitsbereichs "Berechtigungsverwaltung" hinzugefügt.
    1. Wählen Sie den Knoten Berechtigungsverwaltung für einen Regelsatz aus.
    2. Klicken Sie mit der rechten Maustaste und wählen Sie Self-Elevation > Ordner aus.
      Das Dialogfeld "Ordner für Self-Elevation hinzufügen" wird angezeigt.
    3. Klicken Sie auf der Registerkarte Eigenschaften auf die Auslassungspunkte (...) im Textfeld:
    4. Navigieren Sie im Dialogfeld "Öffnen" zu dem hinzuzufügenden Ordner und klicken Sie auf OK.

      5. Falls erforderlich, können Sie Folgendes auswählen:

      • Umgebungsvariablen möglichst ersetzen
      • Regulären Ausdruck verwenden
      • Unterordner einbeziehen
    5. Geben Sie optional eine Beschreibung für den Ordner ein, um ihn später besser identifizieren zu können.
    6. Wählen Sie die Registerkarte Metadaten aus.
    7. Damit die Felder automatisch ausgefüllt werden, wählen Sie Metadaten aus Datei eintragen aus.

      8. Folgende Felder können ausgefüllt werden: Produktname, Anbieter, Unternehmensname, Dateibeschreibung, Dateiversion und Produktversion.

      Sie können sämtliche Daten verfeinern. Markieren Sie dazu das jeweilige Kontrollkästchen und bearbeiten Sie die Felder.

      Wenn die Metadaten für Anbieter aktiviert sind, ist zusätzlich die Option Zertifikat zur Laufzeit verifizieren verfügbar. Wenn diese Option aktiviert ist, verifiziert der Agent das Zertifikat während des Dateiabgleichs. Klicken Sie auf Verifizierungsoptionen, um Zugriff auf einen weiteren Kriteriensatz zu erhalten, der während des Dateiabgleichs verwendet wird.

      Weitere Informationen finden Sie unter Verifizierungsoptionen.

    8. Klicken Sie auf Hinzufügen, um den Ordner zum Regelsatz hinzuzufügen.
      Das Ordnerelement wird zur Self-Elevation-Ansicht des Arbeitsbereichs "Berechtigungsverwaltung" hinzugefügt.
    1. Wählen Sie den Knoten Berechtigungsverwaltung für einen Regelsatz aus.
    2. Klicken Sie mit der rechten Maustaste und wählen Sie Self-Elevation > Datei-Hash aus.
      Das Dialogfeld "Datei-Hash für Self-Elevation hinzufügen" wird angezeigt.
    3. Klicken Sie auf der Registerkarte "Eigenschaften" auf die Auslassungspunkte (...) im Textfeld:
    4. Navigieren Sie im Dialogfeld "Öffnen" zu dem hinzuzufügenden Datei-Hash und klicken Sie auf OK.
    5. Geben Sie optional eine Beschreibung für den Datei-Hash ein, um ihn später besser identifizieren zu können.
    6. Der Datei-Hash-Wert wird angezeigt. Klicken Sie auf Neu scannen, um den Datei-Hash zu aktualisieren.
    7. Klicken Sie auf Hinzufügen, um den Datei-Hash zum Regelsatz hinzuzufügen.
      Das Datei-Hash-Element wird zur Self-Elevation-Ansicht des Arbeitsbereichs "Berechtigungsverwaltung" hinzugefügt.
    1. Wählen Sie den Knoten Berechtigungsverwaltung für einen Regelsatz aus.
    2. Klicken Sie mit der rechten Maustaste und wählen Sie Self-Elevation > Regelsammlung aus.
      Das Dialogfeld "Auswahl Regelsatz" wird angezeigt. Alle Regelsammlungen für die Berechtigungsverwaltung sind aufgeführt.
    3. Markieren Sie für alle Sammlungen, die Sie dem Regelsatz hinzufügen möchten, das Kontrollkästchen Zu Regel hinzufügen.
    4. Klicken Sie auf OK, um die Sammlung(en) zur Ansicht "Anwendungen" des Arbeitsbereichs "Berechtigungsverwaltung" hinzuzufügen.

    Systemkontrollen

    Mit Systemkontrollen können Sie die Durchführbarkeit der nachfolgend aufgeführten Aktionen steuern. Mithilfe von Kontrollen kann der Zugriff auf ein bestimmtes Element erweitert oder eingeschränkt werden.

    • Steuerelement "Deinstallieren": Mit dieser Option erlauben oder unterbinden Sie das Deinstallieren von Anwendungen, wenn die Regelbedingungen erfüllt sind. Steuerelemente vom Typ "Deinstallieren" werden konfiguriert, indem die gesteuerten Anwendungen definiert werden. Eine weitere Validierung kann angewendet werden, um einen benannten Herausgeber und bestimmte Anwendungsversionen zu erreichen. Um alle Anwendungen eines Herausgebers zuzulassen oder zu unterbinden, geben Sie das Zeichen "*" in das Feld "Anwendung" ein, gefolgt vom Namen des Herausgebers.
    • Steuerelement "Dienste": Mit dieser Option legen Sie fest, welche Dienste geändert, gestoppt, gestartet und neu gestartet werden können, wenn die Regelbedingungen erfüllt sind.

      • Der Agentdienst ist der einzige Dienst, der nach dem Stoppen nicht neu gestartet werden kann.

      Steuerelemente vom Typ "Dienste" werden konfiguriert, indem der Anzeigename und/oder der interne Name angegeben wird. Der Anzeigename des Dienstes kann je nach Lokalisierung des Betriebssystems anders sein, der interne Name bleibt jedoch stets gleich. Falls die Konfiguration über mehrere Gebietsschemen hinweg eingesetzt wird, sollte daher nur der interne Name verwendet werden.

    • Steuerelement "Ereignisprotokoll": Mit dieser Option steuern Sie, welche Ereignisprotokolle gelöscht werden können,wenn die Regelbedingungen erfüllt sind. Ereignisprotokollelemente werden konfiguriert, indem der Name der zu kontrollierenden Protokolle ausgewählt wird.
    • Steuerelement für Prozessbeendigung: Mit dieser Option sorgen Sie dafür, dass Prozesse wie Virenschutzsoftware durch keinen Benutzer beendet werden können, auch nicht durch Administratoren. Benutzer können Prozesse zwar weiterhin ordnungsgemäß stoppen, indem sie beispielsweise auf der Benutzeroberfläche einer Anwendung auf "Schließen" klicken, sie können jedoch nicht die Beendigung eines Prozesses erzwingen, indem sie etwa einen Task auf der Registerkarte "Details" des Task Managers beenden. Es kann eine bestimmte Datei angegeben oder es können alle Prozesse in einem bestimmten Ordner als Ziel festgelegt werden.

      • Fügen Sie optional Metadaten hinzu, um zusätzliche Kriterien beim Abgleichen von Dateien und Ordnern einzuschließen.

    Verwandte Themen

    Berechtigungsverwaltung

    Konfigurationseinstellungen für die Berechtigungsverwaltung