Параметры политики назначенного доступа
Когда конфигурация назначенного доступа применяется к устройству, применяются определенные параметры политики и правила AppLocker, влияющие на пользователей, обращаюющихся к устройству. В параметрах политики используется сочетание параметров поставщика служб конфигурации (CSP) и групповой политики (GPO).
В этой справочной статье перечислены параметры политики и правила AppLocker, применяемые назначенным доступом.
Примечание.
Не рекомендуется настраивать параметры политики, применяемые назначенным доступом к другим значениям с помощью других каналов. Назначенный доступ оптимизирован для обеспечения заблокированного интерфейса.
Параметры политики устройств
Следующие параметры политики применяются на уровне устройства при развертывании ограниченного взаимодействия с пользователем. Любой пользователь, обращаюющийся к устройству, зависит от параметров политики, включая учетные записи администратора:
| Тип | Путь | Имя и описание |
|---|---|---|
| CSP | ./Vendor/MSFT/Policy/Config/Experience/AllowCortana |
Отключение Кортаны |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDocuments |
Значок "Отключить начальные документы" |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDownloads |
Значок "Отключить начальную загрузку" |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderFileExplorer |
Отключить значок запуска проводника |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderHomeGroup |
Отключить значок начальной группы |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderMusic |
Отключить значок "Начать музыку" |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderNetwork |
Отключить значок запуска сети |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPersonalFolder |
Отключить значок личной папки "Пуск" |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPictures |
Значок "Отключить начальные рисунки" |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderSettings |
Значок "Отключить параметры запуска" |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderVideos |
Значок "Отключить запуск видео" |
| CSP | ./Vendor/MSFT/Policy/Config/Start/HideChangeAccountSettings |
Скрыть изменение параметров учетной записи в плитке пользователя |
| CSP | ./Vendor/MSFT/Policy/Config/Update/SetAutoRestartNotificationDisable |
Скрывает все уведомления об обновлении |
| CSP | ./Vendor/MSFT/Policy/Config/Update/UpdateNotificationLevel |
Отключает уведомления об автоматическом перезапуске обновлений |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsInkWorkspace/AllowWindowsInkWorkspace |
Доступ к рабочей области рукописного ввода отключен |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI |
Скрытие пользовательского интерфейса сетей на экране входа, а также в пользовательском интерфейсе "Параметры безопасности" |
Параметры политики пользователя
При развертывании ограниченного взаимодействия с пользователем к любой учетной записи, отличной от администратора, применяются следующие параметры политики:
| Тип | Путь | Имя и описание |
|---|---|---|
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/DisableContextMenus |
Отключение контекстного меню для приложений меню "Пуск" |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HidePeopleBar |
Скрытие Люди панели от отображения на панели задач |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentlyAddedApps |
Скрытие недавно добавленных приложений от отображения в меню "Пуск" |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentJumplists |
Скрыть последние списки переходов, отображаемые в меню "Пуск" или на панели задач |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Очистить журнал недавно открывавшихся документов при выходе |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Отключить отображение всплывающих уведомлений |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Запретить закрепление элементов в списках переходов |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Запретить закрепление программ на панели задач |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Не отображать и не отслеживать элементы в списках переходов из удаленных расположений |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Скрытие и отключение всех элементов на рабочем столе |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Скрытие кнопки "Представление задач" |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Блокировать все параметры панели задач |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Закрепить панель задач |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Запретить пользователям добавлять или удалять панели инструментов |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Запретить пользователям настраивать начальный экран |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Запретить пользователям перемещать панель задач в другое расположение док-станции экрана |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Запретить пользователям изменять порядок панелей инструментов |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Запретить изменение размера панели задач |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Запретить пользователям удалять приложения с начального экрана |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Запретить доступ в контекстное меню для панели задач |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Удалить список всех программ из меню "Пуск" |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Удаление центра управления |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Удалить список часто используемых программ из меню "Пуск" |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Удаление центра уведомлений и уведомлений |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Удаление быстрых параметров |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Удалить команду "Выполнить" из меню "Пуск" |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Удалить значок "Безопасность и обслуживание" |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Отключить все всплывающие уведомления |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач | Отключить всплывающие уведомления объявлений компонентов |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач\Уведомления | Отключить всплывающие уведомления |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Система\Варианты действий после нажатия CTRL+ALT+DEL | Удаление смены пароля |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Система\Варианты действий после нажатия CTRL+ALT+DEL | Удаление выхода из системы |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Система\Варианты действий после нажатия CTRL+ALT+DEL | Удалить диспетчер задач |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Компоненты Windows\проводник | Удаление сетевого диска карты и отключение сетевого диска |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Компоненты Windows\проводник | Удаление контекстного меню проводник по умолчанию |
Следующие параметры политики применяются к учетной записи киоска при настройке работы киоска в Microsoft Edge:
| Тип | Путь | Имя и описание |
|---|---|---|
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач\Уведомления | Запуск только указанных приложений Windows >msedge.exe |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Система | Отключить всплывающие уведомления |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Диспетчер вложений | Уровень риска по умолчанию для вложений > файлов Высокий риск |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Диспетчер вложений | Список включения для файлов с низким уровнем >.pdf;.epub |
| Объект групповой политики | Конфигурация пользователя\Административные шаблоны\Компоненты Windows\проводник | Удаление контекстного меню проводник по умолчанию |
Правила AppLocker
При развертывании пользовательского интерфейса с ограниченным доступом создаются правила AppLocker, разрешающие приложения, перечисленные в конфигурации. Ниже приведены стандартные правила AppLocker для назначенного доступа:
правила приложений универсальная платформа Windows (UWP)
- Правило по умолчанию — разрешить всем пользователям запускать подписанные упакованные приложения.
-
Список запрещенных упакованных приложений создается во время выполнения при входе пользователя с назначенным доступом:
- На основе установленных приложений, доступных для учетной записи пользователя, назначенный доступ создает список запретов. Список исключает разрешенные упакованные приложения для папки "Входящие" по умолчанию, которые критически важны для работы системы, а затем исключают разрешенные пакеты, определенные в конфигурации назначенного доступа.
- Если в одном пакете несколько приложений, все приложения исключаются.
Список запрещенных используется для предотвращения доступа пользователя к приложениям, которые в настоящее время доступны пользователю, но не входят в список разрешенных.
Примечание.
Вы не можете управлять правилами AppLocker, созданными ограниченным пользовательским интерфейсом в оснастках MMC. Избегайте создания правил AppLocker, конфликтующих с правилами AppLocker, созданными с помощью назначенного доступа.
Назначенный доступ не мешает организации или пользователям устанавливать приложения UWP. Когда новое приложение UWP устанавливается во время сеанса назначенного доступа, приложение не находится в списке запрещенных. Когда пользователь выходит из системы и снова входит в систему, установленное приложение включается в список запрещенных. Для приложений, развернутых централизованно, которые вы хотите разрешить, например для приложений типа biness, обновите конфигурацию назначенного доступа и включите приложения в список разрешенных приложений.
Правила классических приложений
- Правило по умолчанию — разрешить всем пользователям запускать классические программы, подписанные с помощью сертификата Майкрософт , для загрузки и работы системы. Правило позволяет группе пользователей-администраторов запускать все классические программы.
- Существует предопределенный список запретов в папке "Входящие" для учетной записи пользователя с назначенным доступом, который обновляется на основе списка разрешенных классических приложений , определенного в конфигурации назначенного доступа.
- Разрешенные корпоративные классические приложения добавляются в список разрешений AppLocker
Сочетания клавиш
Следующие сочетания клавиш блокируются для учетных записей пользователей с назначенным доступом:
| Сочетание клавиш | Действие |
|---|---|
| CTRL + Сдвиг + Esc | Открытие диспетчера задач |
| ПОБЕЖДАТЬ + , (запятая) | Временное включение показа рабочего стола при наведении |
| ПОБЕЖДАТЬ + A | Открытие центра уведомлений |
| ПОБЕЖДАТЬ + Alt + D | Отображение и скрытие даты и времени на рабочем столе |
| ПОБЕЖДАТЬ + CTRL + F | Поиск объектов-компьютеров в Active Directory |
| ПОБЕЖДАТЬ + D | Отображение и скрытие рабочего стола |
| ПОБЕЖДАТЬ + E | Открытие проводника |
| ПОБЕЖДАТЬ + F | Открытие Центра отзывов |
| ПОБЕЖДАТЬ + G | Открытие меню запущенной игры |
| ПОБЕЖДАТЬ + Я | Открытие "Параметров" |
| ПОБЕЖДАТЬ + J | Установка фокуса на подсказку Windows, когда она доступна |
| ПОБЕЖДАТЬ + O | Фиксация ориентации устройства |
| ПОБЕЖДАТЬ + Q | Открытие окна поиска |
| ПОБЕЖДАТЬ + R | Открытие диалогового окна "Выполнить" |
| ПОБЕЖДАТЬ + S | Открытие окна поиска |
| ПОБЕЖДАТЬ + Сдвиг + C | Открытие Кортаны в режиме прослушивания |
| ПОБЕЖДАТЬ + X | Открытие меню быстрых ссылок |
| LaunchApp1 | Откройте приложение, назначенное этому ключу |
| LaunchApp2 | Откройте приложение, назначенное этому ключу. На многих клавиатурах Майкрософт приложение является калькулятором |
| LaunchMail | Открытие почтового клиента по умолчанию |
Сведения о настройке сочетаний клавиш см. в разделе Рекомендации по назначению доступа.