分配的访问策略设置
在设备上应用分配的访问权限配置时,将强制实施某些策略设置和 AppLocker 规则,从而影响访问设备的用户。 策略设置结合使用配置服务提供程序 (CSP) 和组策略 (GPO) 设置。
此参考文章列出了分配的访问权限应用的策略设置和 AppLocker 规则。
注意
不建议使用其他通道将分配访问权限强制实施的策略设置配置为不同的值。 已分配的访问权限经过优化,可提供锁定体验。
设备策略设置
部署受限的用户体验时,会在设备级别应用以下策略设置。 访问设备的任何用户都受策略设置的约束,包括管理员帐户:
| 类型 | 路径 | 名称/说明 |
|---|---|---|
| CSP | ./Vendor/MSFT/Policy/Config/Experience/AllowCortana |
禁用 Cortana |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDocuments |
“禁用开始文档”图标 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDownloads |
“禁用开始下载”图标 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderFileExplorer |
禁用“开始文件资源管理器”图标 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderHomeGroup |
“禁用开始开始”主页组图标 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderMusic |
“禁用开始音乐”图标 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderNetwork |
“禁用启动网络”图标 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPersonalFolder |
“禁用开始个人文件夹”图标 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPictures |
“禁用开始图片”图标 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderSettings |
“禁用开始设置”图标 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderVideos |
“禁用开始视频”图标 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/HideChangeAccountSettings |
隐藏 “更改帐户设置 ”,不显示在用户磁贴中 |
| CSP | ./Vendor/MSFT/Policy/Config/Update/SetAutoRestartNotificationDisable |
隐藏所有更新通知 |
| CSP | ./Vendor/MSFT/Policy/Config/Update/UpdateNotificationLevel |
禁用更新的自动重启通知 |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsInkWorkspace/AllowWindowsInkWorkspace |
禁用对墨迹工作区的访问 |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI |
在登录屏幕上以及“安全选项”UI 上隐藏网络 UI |
用户策略设置
部署受限用户体验时,以下策略设置将应用于任何非管理员帐户:
| 类型 | 路径 | 名称/说明 |
|---|---|---|
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/DisableContextMenus |
禁用“开始”菜单应用的上下文菜单 |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HidePeopleBar |
隐藏人员栏,不显示在任务栏上 |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentlyAddedApps |
隐藏最近添加的应用,不显示在“开始”菜单上 |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentJumplists |
隐藏最近的跳转列表,不显示在“开始”菜单/任务栏上 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 退出系统时清除最近打开的文档的历史记录 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 禁止将气球通知显示为 toast |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 不允许在跳转列表中固定项目 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 不允许将程序固定到任务栏 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 不在跳转列表中显示或跟踪来自远程位置的项目 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 隐藏和禁用桌面上的所有项目 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 隐藏“任务视图”按钮 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 锁定所有任务栏设置 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 锁定任务栏 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 阻止用户添加或删除工具栏 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 阻止用户自定义“开始”屏幕 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 阻止用户将任务栏移动到另一个屏幕停靠位置 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 阻止用户重新排列工具栏 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 防止用户调整任务栏大小 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 阻止用户从“开始”屏幕中卸载应用程序 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 删除任务栏的上下文菜单的访问权限 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 从“开始”菜单中删除“所有程序”列表 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 删除控制中心 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 从“开始”菜单中删除常用程序列表 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 删除通知和操作中心 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 删除快速设置 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 从“开始”菜单中删除“运行”菜单 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 删除“安全和维护”图标 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 关闭所有气球通知 |
| Gpo | “用户配置”\“管理模板”\“‘开始’菜单和任务栏” | 关闭功能广告气球通知 |
| Gpo | 用户配置\管理模板\开始菜单和任务栏\通知 | 关闭 toast 通知 |
| Gpo | 用户配置\管理模板\系统\Ctrl+Alt+Del 选项 | 删除更改密码 |
| Gpo | 用户配置\管理模板\系统\Ctrl+Alt+Del 选项 | 删除注销 |
| Gpo | 用户配置\管理模板\系统\Ctrl+Alt+Del 选项 | 删除任务管理器 |
| Gpo | 用户配置\管理模板\Windows 组件\文件资源管理器 | 删除 映射网络驱动器 并 断开网络驱动器的连接 |
| Gpo | 用户配置\管理模板\Windows 组件\文件资源管理器 | 删除文件资源管理器的默认上下文菜单 |
使用 Microsoft Edge 配置展台体验时,以下策略设置将应用于展台帐户:
| 类型 | 路径 | 名称/说明 |
|---|---|---|
| Gpo | 用户配置\管理模板\开始菜单和任务栏\通知 | 仅运行指定的 Windows 应用程序 >msedge.exe |
| Gpo | 用户配置\管理模板\System | 关闭 toast 通知 |
| Gpo | 用户配置\管理模板\Windows 组件\附件管理器 | 文件附件 > 的默认风险级别 高风险 |
| Gpo | 用户配置\管理模板\Windows 组件\附件管理器 | 低文件类型的包含列表 >.pdf;.epub |
| Gpo | 用户配置\管理模板\Windows 组件\文件资源管理器 | 删除文件资源管理器的默认上下文菜单 |
AppLocker 规则
部署分配的访问权限受限用户体验时,将生成 AppLocker 规则以允许配置中列出的应用。 下面是预定义的分配访问权限 AppLocker 规则:
通用 Windows 平台 (UWP) 应用规则
- 默认规则是允许所有用户启动已签名 的打包应用
- “已分配的访问权限”用户登录时,会在运行时生成打包的应用 拒绝列表 :
- 分配的访问权限根据用户帐户可用的已安装应用生成拒绝列表。 该列表排除默认允许的收件箱打包应用(这对系统正常运行至关重要),然后排除在“分配的访问权限”配置中定义的允许包
- 如果同一包中有多个应用,则排除所有应用
拒绝列表用于阻止用户访问应用,这些应用当前可供用户使用,但不允许在允许列表中
注意
无法管理由 MMC 管理单元中的受限用户体验生成的 AppLocker 规则。避免创建与分配访问权限生成的 AppLocker 规则冲突的 AppLocker 规则。
分配的访问权限不会阻止组织或用户安装 UWP 应用。 在分配的访问权限会话期间安装新的 UWP 应用时,该应用不在拒绝列表中。 当用户注销并再次登录时,已安装的应用将包含在拒绝列表中。 对于要允许的集中部署的应用(如双线应用),请更新“分配的访问权限”配置,并将应用包含在 允许应用列表中。
桌面应用规则
- 默认规则是允许所有用户启动使用 Microsoft 证书 签名的桌面程序,以便系统启动和运行。 该规则也允许管理员用户组启动所有桌面程序。
- 分配的访问权限用户帐户有一个预定义的收件箱桌面应用拒绝列表,该列表根据你在分配的访问权限配置中定义的 桌面应用允许列表 进行更新
- 企业定义的允许桌面应用添加到 AppLocker 允许列表中
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈