グループ ルール
このセクション:
グループ ルールについて
グループ ルール ノードでは、セキュリティ制御ルールを、企業内の特定のユーザ グループに照合することができます。
グループの概要には、グループ名とテキストのセキュリティ識別子 (SID) が表示されます。 SID は、ユーザ、グループ、コンピュータ アカウントを識別する、可変長のデータ構造です。 アカウントが最初に作成されたときに、ネットワークのすべてのアカウントには一意の SID が発行されます。 Windows の内部プロセスは、アカウント ユーザまたはグループ名ではなく、アカウント SID を参照します。 同様に、構成に追加されるときに SID が見つからない場合を除き、アプリケーション制御はユーザまたはグループ SID も参照します。
次の2つの定義済みグループ ルールがあります。
- BUILTIN\Administrators - BUILTIN\Administrators グループは、ローカル管理者向けアプリケーションへのアクセスを管理するためのグループです。 BUILTIN\Administrators のユーザには、制限なしのセキュリティ レベルが割り当てられます。
- Everyone - 管理者も含めたすべてのユーザが Everyone グループの一員です。 より高い優先度が設定された他のグループ/ユーザ ルールと一致するユーザを除き、Everyone グループ ルールおよび追加のすべてのグループ ルールには、制限ありのセキュリティ レベルが割り当てられます。 つまり管理者は、BUILTIN\Administrators グループ (制限なし) および Everyone グループ (制限あり) という2つのグループに属しています。 アプリケーション制御 は、最も制限の緩いルールを使用します。したがって、すべての管理者要求は制限なしになります。
通常は、すべてのファイル、フォルダ、ドライブ、ファイル ハッシュ、およびグループを、Everyone に対して禁止するように指定します。 その後、新しいグループまたはユーザを作成し、そのグループまたはユーザからのアクセスを許可する項目を指定します。 これにより 、ユーザがアクセスできる対象を制御できます。
グループ ルールの管理
- グループ ルールセットを追加するには、[グループ] を右クリックし、[グループ ルールセットを追加] を選択します。
[グループ ルールセットを追加] ダイアログが表示されます。 アカウントを入力するか、参照して選択します。 - グループ ルールセットを削除するには、ルールセットを右クリックして [ルールセットの削除] を選択します。
確認メッセージが表示されます。 [はい] をクリックすると、削除を確認します。
実行ファイル制御、権限管理、およびブラウザ制御の項目を、各グループ ルールセットに追加できます。 詳細については、関連トピックをご参照ください。