组规则
在此部分:
关于组规则
“组”规则节点允许您将安全控制规则与企业内的特定用户组进行匹配。
“组”汇总显示组名和文本安全标识符 (SID)。 SID 是可变长度的数据结构,用于标识用户、组和计算机帐户。 首次创建帐户时,网络上的每个帐户都会获得一个唯一的 SID。 Windows 中的内部进程引用帐户 SID 而不是帐户用户或组名。 同样地,除非在添加到配置时找不到 SID,否则 应用程序控件 还将引用用户或组 SID。
有两个预定义的组规则:
- 内建\管理员 - 内建\管理员组用于管理本地管理员的应用程序访问权限。 内建\管理员中的用户分配有“无限制”安全级别。
- 所有人 - 所有用户(包括管理员)都是“所有人”组的成员。 “所有人”组规则及所有其他组规则的安全级别均为“受限制”,除非用户匹配具有更高优先级设置的其他组或用户规则。 这意味着管理员受两个组规则的约束:内建管理员组(无限制)和“所有人”组(受限制)。 应用程序控件 使用限制最少的规则;因此,所有管理员请求都不受限制。
通常,您需要指定禁止所有人访问的所有文件、文件夹、驱动器、文件哈希和组。 然后,可以新建组或用户并指定允许该组或用户访问的项目。 这样一来,您便可以控制用户有权访问的项目。
管理组规则
- 要添加组规则集,请右键点击组,然后选择添加组规则集。
随即显示“添加组规则集”对话框。 输入或浏览以选择一个帐户。 - 要删除组规则集,请右键单击规则集,然后选择删除规则集。
随即显示确认消息。 单击是确认删除。
您可以将可执行的控件、权限管理和浏览器控制项添加到每个组规则集。 如需相关信息,请参阅相关主题。