Архитектура политики ограниченного использования программ
Правила для пути
В правиле для пути можно указать папку или полный путь к программе. Когда в правиле для пути указана папка, оно применяется ко всем программам, находящимся в этой папке и всех ее подпапках. Поддерживаются как локальные, так и универсальные пути в формате UNC.
Использование переменных среды в правилах для пути. В правиле для пути можно использовать переменные среды. Поскольку правила для пути обрабатываются в клиентской среде, возможность использования переменных среды (например, %USERPROFILE%) позволяет им приспособиться к определенной среде пользователя.
Важно
Переменные среды не защищены списками управления доступом (ACL). В случае, если пользователи смогут запустить командную строку, они смогут переопределить переменные среды на свое усмотрение.
Использование подстановочных знаков (wildcards) в правилах для пути. Правило для пути может содержать подстановочные знаки '?' и '*', позволяя правилам, таким как "*.vbs", применяться ко всем файлам сценариев Visual Basic®. Несколько примеров:
- "\\DC-??\login$" matches \\DC-01\login$, \\DC-02\login$
- "*\Windows" matches C:\Windows, D:\Windows, E:\Windows
- "c:\win*" matches c:\winnt, c:\windows, c:\windir
Правила для пути в реестре. Многие приложения хранят пути к своим установочным папкам или рабочие каталоги в системном реестре. Вы можете создать правило для пути которое просматривает эти ключи реестра. Например, некоторые приложения могут быть установлены в любом месте файловой системы. Эти местоположения бывает трудно обозначить, если использовать конкретные пути (такие как C:\Program Files\Microsoft Platform SDK) или переменные среды (такие как %ProgramFiles%\Microsoft Platform SDK). Если программа хранит пути к своим рабочим каталогам в реестре, Вы можете создать правило для пути, которое будет использовать хранящееся в реестре значение, такое как:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\Install Dir%
Такой тип правила для пути называется правилом для пути в реестре и имеет следующий формат:
%[Куст реестра]\[Имя раздела реестра]\[Имя параметра]%
Примечание
Суффикс любого правила для пути в реестре не должен содержать символ "\" сразу же после последнего знака "%" в правиле.
- Путь в реестре должен быть заключен между знаками процента ("%").
- Параметр реестра должен быть либо строковым параметром (REG_SZ), либо расширяемым строковым параметром (REG_EXPAND_SZ). Вы не можете использовать HKLM в качестве аббревиатуры для HKEY_LOCAL_MACHINE или HKCU – в качестве аббревиатуры для HKEY_CURRENT_USER.
- Если параметр реестра содержит переменные среды, при оценке политики будет использоваться их фактическое значение.
- Правило для пути в реестре может также содержать окончание пути, такое как %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK* Это правило для пути в реестре идентифицирует папку, которую Microsoft Outlook XP использует для хранения вложений перед их запуском. Название папки вложений всегда начинается с "OLK", поэтому в правиле можно использовать подстановочные знаки. В качестве примера это правило применяется к следующему пути: C:\Documents and Settings\имя_пользователя\Local Settings\Temporary Internet Files\OLK4
Важно
Когда Вы задаете правило для пути, Вы должны проверить списки контроля доступа (ACL) для этого пути. Если пользователи имеют разрешение на запись в определенную папку, они могут изменять ее содержимое. Например, если Вы разрешите доступ к C:\Program Files, любой пользователь группы Опытные пользователи (Power Users) на локальном компьютере может копировать приложения в папку Program Files.
Приоритет правил для путей. Если приложение попадает под действие нескольких правил для пути, самым приоритетным будет являться правило с наиболее точным совпадением.
Ниже перечислен набор путей, начиная с самого приоритетного (наиболее точное совпадение) к наименее приоритетному (наиболее общее совпадение).
- Диск:\Папка1\Папка2\ИмяФайла.Расширение
- Диск:\ Папка1\Папка2\*. Расширение
- *. Расширение
- Диск:\ Папка1\Папка2\
- Диск:\ Папка1\