Regras de grupo
Nesta seção:
Sobre as regras de grupo
O nó Regras de grupo permite fazer a correspondência de regras de controle de segurança com grupos de usuários específicos dentro da empresa.
O Resumo do grupo exibe o nome do grupo e o Identificador de Segurança Textual (SID, na sigla em inglês). O SID é uma estrutura de dados de comprimento variável que identifica contas de usuário, grupo e computador. Cada conta na rede recebe um SID exclusivo quando é criada. Os processos internos no Windows consultam o SID das contas em vez do nome de grupo ou de usuário referente a elas. Da mesma forma, o Controle de Aplicativos também recorre ao SID do usuário ou grupo, a menos que o SID não possa ser encontrado quando adicionado à configuração.
Existem duas regras de grupo predefinidas:
- BUILTIN\Administradores - O grupo BUILTIN\Administradores destina-se ao gerenciamento de acesso a aplicativos para administradores locais. Os usuários em BUILTIN\Administradores recebem o nível de segurança Irrestrito.
- Todos - Todos os usuários, inclusive os administradores, fazem parte do grupo Todos. A regra de grupo Todos e todas as regras de grupo adicionais têm nível de segurança Restrito, a menos que um usuário corresponda a outras regras de grupo ou usuário com parâmetros mais elevados de prioridade. Isso significa que os administradores fazem parte de duas regras de grupo: o grupo BUILTIN\Administradores, que é irrestrito, e o grupo Todos, que é restrito. Controle de Aplicativos usa as regras menos restritivas; portanto, todas as solicitações do administrador são irrestritas.
Normalmente, você especifica que todos os arquivos, pastas, unidades, hashes de arquivo e grupos ficam proibidos para Todos. Em seguida, você pode criar um novo grupo ou usuário e especificar os itens que ficarão acessíveis a esse grupo ou usuário. Isso permite controlar o que os usuários podem acessar.
Gerenciar regras de grupo
- Para adicionar um conjunto de regras de grupo, clique com o botão direito em Grupo e selecione Adicionar conjunto de regras de grupo.
O diálogo Adicionar Conjunto de Regras de Grupo é exibido. Insira ou navegue para selecionar uma conta. - Para remover um conjunto de regras de grupo, clique com o botão direito no conjunto de regras de grupo e selecione Remover Conjunto de Regras.
Uma mensagem de confirmação é exibida. Clique em Sim para confirmar a remoção.
Você pode adicionar itens para Controle de Executáveis, Gerenciamento de Privilégios e Controle de Navegador a cada conjunto de regras de grupo. Para obter informações, consulte os Tópicos Relacionados.
Tópicos relacionados
Controle de executável no conjunto de regras