Cómo establecer privilegios de cuenta en dispositivos con Windows 10 u 11

Ediciones compatibles con esta función: Frontline Starter, Frontline Standard y Frontline Plus; Business Plus; Enterprise Standard y Enterprise Plus; Education Standard, Education Plus y Endpoint Education Upgrade; Enterprise Essentials y Enterprise Essentials Plus; Cloud Identity Premium.  Compara tu edición

Como administrador, puedes cambiar la configuración del nivel de privilegios administrativos locales que un usuario puede tener en sus dispositivos Microsoft Windows 10 o 11. Por ejemplo, puedes permitir un control limitado o acceso completo. Este nivel de privilegio se otorga a la cuenta de Windows asociada a la Cuenta de Google de un usuario, no a la Cuenta de Google del usuario.

También puedes otorgar privilegios de administrador a otras cuentas de Windows existentes. Estas cuentas pueden ser locales en el dispositivo o usuarios y grupos de Microsoft Active Directory, incluso si aún no accedieron al dispositivo.

Antes de comenzar

Para otorgar privilegios de administrador local, el dispositivo debe estar bajo la administración de dispositivos de Windows.

Cómo establecer privilegios de administrador

Antes de comenzar: Si necesitas establecer un departamento o equipo para este parámetro de configuración, consulta Cómo agregar una unidad organizativa.

Este parámetro de configuración te ayuda a administrar el acceso administrativo local para los usuarios del Proveedor de credenciales de Google para Windows (GCPW). Un usuario de GCPW puede ser un usuario estándar o un administrador local.

Para aplicar estos parámetros de configuración de privilegios, el sistema usa el proveedor de servicios de configuración (CSP) LocalUsersAndGroups de Microsoft durante el evento de sincronización del dispositivo. Cuando la opción Administrar el acceso administrativo local a los dispositivos está activada en la Consola del administrador de Google, el CSP procesa la configuración para otorgar privilegios de administrador local a los usuarios de GCPW y a los usuarios, grupos o usuarios locales de Windows existentes incluidos en el campo Cuentas con acceso administrativo local.

  1. En la Consola del administrador de Google, ve a Menú y luego Dispositivos y luego Dispositivos móviles y extremos y luego Configuración y luego Windows

    Es necesario tener el privilegio de administrador de Servicios y dispositivos.

  2. Haz clic en Configuración de la cuenta.
  3. (Opcional) Para aplicar el parámetro de configuración a un departamento o equipo, en el costado, selecciona una unidad organizativa.
  4. En Value, selecciona Enabled.

  5. Establece los privilegios de la cuenta para los usuarios de GCPW:

    • Para asignar a los usuarios cuentas estándar sin privilegios de administrador, en Tipo de cuenta de usuario, selecciona Usuario estándar.

    • Para asignar privilegios administrativos locales a los usuarios, en Tipo de cuenta de usuario, selecciona Administrador local.

      Limitación de Windows: Los usuarios de GCPW se agregan al grupo de administradores después de que acceden por primera vez y se sincroniza su dispositivo. Sin embargo, la configuración de los privilegios de su cuenta solo se aplicará después de su próximo acceso.

  6. (Opcional) Para otorgar privilegios de administrador local a los usuarios, grupos o cuentas de usuario locales de Active Directory existentes, agrégalos en el campo Cuentas con acceso administrativo local. Usa los siguientes formatos y separa los valores múltiples con comas:

    • Usuarios de Active Directory: TuDominio\usuario (por ejemplo, TuDominio\jsmith)
    • Grupos de Active Directory: TuDominio\grupo (por ejemplo, TuDominio\jsmith, TuDominio\Win11admins)
    • Usuarios locales: nombre de usuario (por ejemplo, lrayes, YourDomain\jsmith, rnguyen, YourDomain\Win11admins, hcampbell, bkwan)

    Si proporcionas un nombre de cuenta que no existe, no se creará una cuenta nueva en el dispositivo. Se ignoran las cuentas que no existen y se procesan las cuentas válidas restantes. Quitar los nombres de usuarios o grupos del campo Cuentas con acceso administrativo local no los quita del grupo de administradores locales. Sin embargo, los nombres quitados no se agregarán durante las sincronizaciones futuras de dispositivos.

    Importante: Te recomendamos que no uses el campo Cuentas con acceso administrativo local. Este campo solo existe con fines históricos y es poco probable que se necesite.

  7. Haz clic en Guardar. También puedes hacer clic en Anular para una unidad organizativa.

    Para restablecer después el valor heredado, haz clic en Heredar.

Solución de problemas

Si la configuración administrativa no se aplica como esperabas, puedes revisar los registros de eventos de administración de dispositivos en el dispositivo Windows para obtener información de diagnóstico detallada.

Para ver los registros de eventos de administración de dispositivos, sigue estos pasos:

  1. En el dispositivo de destino, abre el Visualizador de eventos. Para encontrar el Visor de eventos, búscalo en el menú Inicio de Windows.
  2. Ve a Registros de aplicaciones y servicios y luego Microsoft y luego Windows y luego DeviceManagement-Enterprise-Diagnostics-Provider y luego Admin.
  3. Revisa los eventos relacionados con el CSP LocalUsersAndGroups.

Registros de ejemplo:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Descripción general: Mayor seguridad para las computadoras de escritorio con Windows


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.