Kontoberechtigungen auf Windows 10- oder 11-Geräten festlegen

Unterstützte Versionen für diese Funktion: Frontline Starter, Frontline Standard und Frontline Plus; Business Plus; Enterprise Standard und Enterprise Plus; Education Standard, Education Plus und Endpoint Education Upgrade; Enterprise Essentials und Enterprise Essentials Plus; Cloud Identity Premium.  Versionen vergleichen

Als Administrator können Sie die Einstellung für die lokale Administratorberechtigungsebene ändern, die ein Nutzer auf seinen Microsoft Windows 10- oder 11-Geräten haben darf. Sie können beispielsweise eingeschränkte Steuerungsmöglichkeiten oder vollständigen Zugriff gewähren. Diese Berechtigungsstufe wird dem Windows-Konto gewährt, das mit dem Google-Konto eines Nutzers verknüpft ist, nicht dem Google-Konto eines Nutzers.

Sie können auch Administratorberechtigungen für andere vorhandene Windows-Konten erteilen. Beispiele sind Konten, die sich lokal auf dem Gerät befinden, oder Microsoft Active Directory-Nutzer und ‑Gruppen, auch wenn sie sich noch nicht auf dem Gerät angemeldet haben.

Hinweis

Damit lokale Administratorberechtigungen erteilt werden können, muss das Gerät der Windows-Geräteverwaltung unterliegen.

Administratorberechtigungen festlegen

Hinweis:Wenn Sie für diese Einstellung eine Abteilung oder ein Team einrichten möchten, lesen Sie den Hilfeartikel Organisationseinheit hinzufügen.

Mit dieser Einstellung können Sie den lokalen Administratorzugriff für Nutzer des Google-Anmeldeinformationsanbieters für Windows (GCPW) verwalten. Ein GCPW-Nutzer kann ein Standardnutzer oder ein lokaler Administrator sein.

Um diese Berechtigungseinstellungen anzuwenden, verwendet das System während der Gerätesynchronisierung den Microsoft LocalUsersAndGroups Configuration Service Provider (CSP). Wenn Lokalen Administratorzugriff auf Geräte verwalten in der Google Admin-Konsole aktiviert ist, verarbeitet der CSP die Konfiguration, um GCPW-Nutzern und den vorhandenen Active Directory-Nutzern, ‑Gruppen oder lokalen Windows-Nutzern, die im Feld Konten mit lokalem Administratorzugriff enthalten sind, lokale Administratorberechtigungen zu gewähren.

  1. Klicken Sie in der Admin-Konsole auf das Dreistrichmenü  und dann Geräte und dann Mobilgeräte und Endpunkte und dann Einstellungen und dann Windows

    Hierfür benötigen Sie die Administratorberechtigung „Dienste und Geräte“.

  2. Klicken Sie auf Kontoeinstellungen.
  3. Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus.
  4. Wählen Sie für Wert die Option Aktiviert aus.

  5. So legen Sie die Kontoberechtigungen für GCPW-Nutzer fest:

    • Wenn Sie Nutzern Standardkonten ohne Administratorberechtigungen zuweisen möchten, wählen Sie unter Nutzerkontotyp die Option Standardnutzer aus.

    • Wenn Sie Nutzern lokale Administratorberechtigungen zuweisen möchten, wählen Sie unter Nutzerkontotyp die Option Lokaler Administrator aus.

      Windows-Einschränkung: GCPW-Nutzer werden der Gruppe „Administratoren“ hinzugefügt, nachdem sie sich zum ersten Mal angemeldet haben und ihr Gerät synchronisiert wurde. Die Einstellung für ihre Kontoberechtigungen wird jedoch erst nach der nächsten Anmeldung wirksam.

  6. Optional: Wenn Sie vorhandenen Active Directory-Nutzern oder ‑Gruppen oder lokalen Windows-Nutzerkonten lokale Administratorberechtigungen erteilen möchten, fügen Sie sie dem Feld Konten mit lokalem Administratorzugriff hinzu. Verwenden Sie die folgenden Formate und trennen Sie mehrere Werte durch Kommas:

    • Active Directory-Nutzer: YourDomain\user (z. B. YourDomain\jschmidt)
    • Active Directory-Gruppen: YourDomain\group (z. B. YourDomain\jsmith, YourDomain\Win11admins)
    • Lokale Nutzer: username (z. B. lrayes, YourDomain\jsmith, rnguyen, YourDomain\Win11admins, hcampbell, bkwan)

    Wenn Sie einen Kontonamen angeben, der nicht vorhanden ist, wird auf dem Gerät kein neues Konto erstellt. Nicht vorhandene Konten werden ignoriert und die verbleibenden gültigen Konten werden verarbeitet. Wenn Sie Nutzer- oder Gruppennamen aus dem Feld Konten mit lokalem Administratorzugriff entfernen, werden sie nicht aus der Gruppe „Lokaler Administrator“ entfernt. Die entfernten Namen werden jedoch bei zukünftigen Gerätesynchronisierungen nicht hinzugefügt.

    Wichtig:Wir empfehlen, das Feld Konten mit lokalem Administratorzugriff nicht zu verwenden. Dieses Feld ist nur aus historischen Gründen vorhanden und wird wahrscheinlich nicht benötigt.

  7. Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.

    Wenn Sie den übernommenen Wert später wiederherstellen möchten, klicken Sie auf Übernehmen.

Fehlerbehebung

Wenn administrative Einstellungen nicht wie vorgesehen angewendet werden, können Sie die Ereignisprotokolle zur Geräteverwaltung auf dem Windows-Gerät aufrufen, um detaillierte Diagnoseinformationen zu erhalten.

So rufen Sie die Ereignisprotokolle für die Geräteverwaltung auf:

  1. Öffnen Sie auf dem Zielgerät die Ereignisanzeige. Sie finden die Ereignisanzeige, indem Sie im Windows-Startmenü danach suchen.
  2. Gehen Sie zu Logs für Anwendungen und Dienste und dann Microsoft und dann Windows und dann DeviceManagement-Enterprise-Diagnostics-Provider und dann Admin.
  3. Sehen Sie sich die Ereignisse an, die mit dem CSP LocalUsersAndGroups zusammenhängen.

Beispiellogs:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Erhöhte Computersicherheit für Windows


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.