Menetapkan hak istimewa akun di perangkat Windows 10 atau 11

Edisi yang didukung untuk fitur ini: Frontline Starter, Frontline Standard, dan Frontline Plus; Business Plus; Enterprise Standard dan Enterprise Plus; Education Standard, Education Plus, dan Endpoint Education Upgrade; Enterprise Essentials dan Enterprise Essentials Plus; Cloud Identity Premium.  Bandingkan edisi Anda

Sebagai administrator, Anda dapat mengubah setelan untuk tingkat hak istimewa administratif lokal yang dapat dimiliki pengguna di perangkat Microsoft Windows 10 atau 11 miliknya. Misalnya, Anda dapat mengizinkan kontrol terbatas atau akses penuh. Tingkat hak istimewa ini diberikan ke akun Windows yang dikaitkan dengan Akun Google pengguna, bukan ke Akun Google pengguna.

Anda juga dapat memberikan hak istimewa administratif ke akun Windows lain yang ada. Akun tersebut dapat berupa akun lokal ke perangkat atau pengguna dan grup Microsoft Active Directory, meskipun belum digunakan untuk login ke perangkat.

Sebelum memulai

Untuk memberikan hak istimewa administratif lokal, perangkat harus berada di bawah pengelolaan perangkat Windows.

Menetapkan hak istimewa administratif

Sebelum memulai: Jika Anda perlu menyiapkan departemen atau tim untuk setelan ini, buka Menambahkan unit organisasi.

Setelan ini membantu Anda mengelola akses administratif lokal untuk pengguna Penyedia Kredensial Google untuk Windows (GCPW). Pengguna GCPW dapat berupa pengguna standar atau administrator lokal.

Untuk menerapkan setelan hak istimewa ini, sistem menggunakan Penyedia Layanan Konfigurasi (CSP) Microsoft LocalUsersAndGroups selama peristiwa sinkronisasi perangkat. Jika Kelola akses administratif lokal ke perangkat diaktifkan di konsol Google Admin, CSP akan memproses konfigurasi untuk memberikan hak istimewa administrator lokal kepada pengguna GCPW dan pengguna, grup, atau pengguna Windows lokal Active Directory yang ada yang disertakan dalam kolom Akun dengan akses administratif lokal.

  1. Di konsol Google Admin, buka Menu lalu Perangkat lalu Seluler & endpoint lalu Setelan lalu Windows

    Anda harus memiliki hak istimewa administrator Layanan dan perangkat.

  2. Klik Setelan akun.
  3. (Opsional) Untuk menerapkan setelan ke departemen atau tim, di bagian samping, pilih unit organisasi.
  4. Untuk Nilai, pilih Aktifkan.

  5. Menetapkan hak istimewa akun untuk pengguna GCPW:

    • Untuk menetapkan akun standar kepada pengguna tanpa hak istimewa administratif, untuk Jenis akun pengguna, pilih Pengguna Standar.

    • Untuk menetapkan hak istimewa administratif lokal kepada pengguna, untuk Jenis akun pengguna, pilih Administrator Lokal.

      Batasan Windows: Pengguna GCPW ditambahkan ke grup administrator setelah mereka login untuk pertama kalinya dan perangkat mereka disinkronkan. Namun, setelan untuk hak istimewa akun mereka hanya akan berlaku setelah login berikutnya.

  6. (Opsional) Untuk memberikan hak istimewa admin lokal kepada pengguna Active Directory, grup Active Directory, atau akun pengguna Windows lokal yang ada, tambahkan mereka di kolom Akun dengan akses administratif lokal. Gunakan format berikut, pisahkan beberapa nilai dengan koma:

    • Pengguna Active Directory: YourDomain\user (misalnya, YourDomain\mita)
    • Grup Active Directory: DomainAnda\grup (misalnya, DomainAnda\mita, DomainAnda\Win11admins)
    • Pengguna lokal: nama pengguna (misalnya, lrayes, YourDomain\jsmith, rnguyen, YourDomain\Win11admins, hcampbell, bkwan)

    Jika Anda memberikan nama akun yang tidak ada, akun baru tidak akan dibuat di perangkat. Akun yang tidak ada akan diabaikan, dan akun valid yang tersisa akan diproses. Menghapus nama pengguna atau grup dari kolom Akun dengan akses administratif lokal tidak menghapusnya dari grup Administrator Lokal. Namun, nama yang dihapus tidak akan ditambahkan selama sinkronisasi perangkat berikutnya.

    Penting: Sebaiknya jangan gunakan kolom Akun dengan akses administratif lokal. Kolom ini hanya ada untuk tujuan historis dan kemungkinan tidak diperlukan.

  7. Klik Simpan. Atau, Anda dapat mengklik Ganti untuk unit organisasi.

    Untuk memulihkan nilai yang diwarisi pada lain waktu, klik Warisi.

Pemecahan masalah

Jika setelan administratif tidak diterapkan sesuai keinginan Anda, Anda dapat meninjau log peristiwa pengelolaan perangkat di perangkat Windows untuk mendapatkan informasi diagnostik yang mendetail.

Untuk melihat log peristiwa pengelolaan perangkat:

  1. Di perangkat target, buka Event Viewer. Anda dapat menemukan Event Viewer dengan menelusurinya di menu Start Windows.
  2. Buka Applications and Services Logs lalu Microsoft lalu Windows lalu DeviceManagement-Enterprise-Diagnostics-Provider lalu Admin.
  3. Tinjau peristiwa yang terkait dengan CSP LocalUsersAndGroups.

Contoh log:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Ringkasan: Keamanan desktop yang disempurnakan untuk Windows


Google, Google Workspace, serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang dari masing-masing perusahaan yang bersangkutan.