グループ ルール

このセクション:

グループ ルールについて

グループ ルール ノードでは、セキュリティ制御ルールを、企業内の特定のユーザ グループに照合することができます。

グループの概要には、グループ名とテキストのセキュリティ識別子 (SID) が表示されます。 SID は、ユーザ、グループ、コンピュータ アカウントを識別する、可変長のデータ構造です。 アカウントが最初に作成されたときに、ネットワークのすべてのアカウントには一意の SID が発行されます。 Windows の内部プロセスは、アカウント ユーザまたはグループ名ではなく、アカウント SID を参照します。 同様に、構成に追加されるときに SID が見つからない場合を除き、アプリケーション制御はユーザまたはグループ SID も参照します。

次の2つの定義済みグループ ルールがあります。

  • BUILTIN\Administrators - BUILTIN\Administrators グループは、ローカル管理者向けアプリケーションへのアクセスを管理するためのグループです。 BUILTIN\Administrators のユーザには、制限なしのセキュリティ レベルが割り当てられます。
  • Everyone - 管理者も含めたすべてのユーザが Everyone グループの一員です。 より高い優先度が設定された他のグループ/ユーザ ルールと一致するユーザを除き、Everyone グループ ルールおよび追加のすべてのグループ ルールには、制限ありのセキュリティ レベルが割り当てられます。 つまり管理者は、BUILTIN\Administrators グループ (制限なし) および Everyone グループ (制限あり) という2つのグループに属しています。 アプリケーション制御 は、最も制限の緩いルールを使用します。したがって、すべての管理者要求は制限なしになります。

    通常は、すべてのファイル、フォルダ、ドライブ、ファイル ハッシュ、およびグループを、Everyone に対して禁止するように指定します。 その後、新しいグループまたはユーザを作成し、そのグループまたはユーザからのアクセスを許可する項目を指定します。 これにより 、ユーザがアクセスできる対象を制御できます。

グループ ルールの管理

  • グループ ルールセットを追加するには、[グループ] を右クリックし、[グループ ルールセットを追加] を選択します。
    [グループ ルールセットを追加] ダイアログが表示されます。 アカウントを入力するか、参照して選択します。
  • グループ ルールセットを削除するには、ルールセットを右クリックして [ルールセットの削除] を選択します。
    確認メッセージが表示されます。 [はい] をクリックすると、削除を確認します。

実行ファイル制御、権限管理、およびブラウザ制御の項目を、各グループ ルールセットに追加できます。 詳細については、関連トピックをご参照ください。

関連トピック

ルール セット実行ファイル制御

ルールセットの権限管理

ブラウザ制御

ルールセット