启用用户模拟保护

通过用户模拟保护可以设置规则来允许或拒绝模拟特定用户和组的请求。

启用用户模拟保护

（可选）启用内核模式拦截，如下所示：
1. 停止 CA ControlMinder。
2. 将下列注册表值更改为 1：
```
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\
SeOSD\SurrogateInterceptionMode
```
3. 重新启动 CA ControlMinder。
注意：默认情况下会启用用户模式拦截。
打开 selang 命令提示符窗口。
启用 SURROGATE 类：
```
setoptions class+(SURROGATE)
```
定义 SURROGATE 记录的 selang 规则以便进行 CA ControlMinder 实施。
（仅适用于内核模式拦截）定义规则，该规则允许 SYSTEM 用户模拟提出模拟请求的用户：
```
auth SURROGATE USER.Administrator uid("NT AUTHORITY\SYSTEM") acc(R)
```
Windows 将许多实用程序和服务（例如“运行身份”）识别为 "NT AUTHORITY\SYSTEM" 而不是运行实用工具的原始用户。您必须为 SYSTEM 用户定义规则以便允许运行这些实用工具的用户模拟其他用户。

示例：允许任何模拟请求

除非数据库的记录明确阻止模拟，否则以下 selang 规则允许任何用户模拟其他用户：

editres SURROGATE _default defaccess(READ)

示例：阻止特定用户的模拟

除非数据库的记录明确允许用户模拟，否则以下 selang 规则阻止任何用户模拟管理员：

newres SURROGATE USER.Administrator defaccess(NONE)

示例：允许组模拟用户

下列规则允许管理员组的成员模拟管理员：

authorize SURROGATE USER.Administrator gid("Administrators")