Thiết lập đặc quyền cho tài khoản trên thiết bị Windows 10 hoặc 11

Các phiên bản hỗ trợ tính năng này: Frontline Starter, Frontline Standard và Frontline Plus; Business Plus; Enterprise Standard và Enterprise Plus; Education Standard, Education Plus và Endpoint Education Upgrade; Enterprise Essentials và Enterprise Essentials Plus; Cloud Identity Premium.  So sánh phiên bản của bạn

Là quản trị viên, bạn có thể thay đổi chế độ cài đặt cho cấp đặc quyền quản trị viên cục bộ mà người dùng có thể có trên thiết bị Microsoft Windows 10 hoặc 11 của họ. Ví dụ: bạn có thể cho phép quyền kiểm soát hạn chế hoặc quyền truy cập đầy đủ. Cấp đặc quyền này được cấp cho tài khoản Windows liên kết với Tài khoản Google của người dùng, chứ không phải Tài khoản Google của người dùng.

Bạn cũng có thể cấp đặc quyền quản trị cho các tài khoản Windows hiện có khác. Các tài khoản này có thể là tài khoản cục bộ trên thiết bị hoặc người dùng và nhóm Microsoft Active Directory, ngay cả khi họ chưa đăng nhập vào thiết bị.

Trước khi bắt đầu

Để cấp đặc quyền quản trị viên cục bộ, thiết bị phải được quản lý bằng Windows.

Đặt đặc quyền của quản trị viên

Trước khi bắt đầu: Nếu bạn cần thiết lập một bộ phận hoặc nhóm cho chế độ cài đặt này, hãy tham khảo bài viết Thêm một đơn vị tổ chức.

Chế độ cài đặt này giúp bạn quản lý quyền truy cập quản trị viên cục bộ cho người dùng Trình cung cấp thông tin đăng nhập Google dành cho Windows (GCPW). Người dùng GCPW có thể là người dùng tiêu chuẩn hoặc quản trị viên cục bộ.

Để áp dụng các chế độ cài đặt đặc quyền này, hệ thống sẽ sử dụng Trình cung cấp dịch vụ cấu hình (CSP) LocalUsersAndGroups của Microsoft trong sự kiện đồng bộ hoá thiết bị. Khi bạn bật chế độ Quản lý quyền quản trị cục bộ vào Thiết bị trong Bảng điều khiển dành cho quản trị viên của Google, CSP sẽ xử lý cấu hình để cấp đặc quyền của quản trị viên cục bộ cho người dùng GCPW và người dùng, nhóm hoặc người dùng Windows cục bộ hiện có trong Active Directory có trong trường Tài khoản có quyền quản trị cục bộ.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Thiết bị sau đó Thiết bị di động và thiết bị đầu cuối sau đó Cài đặt sau đó Windows

    Bạn phải có đặc quyền Dịch vụ và thiết bị của quản trị viên.

  2. Nhấp vào Cài đặt tài khoản.
  3. (Không bắt buộc) Để áp dụng chế độ cài đặt này cho một bộ phận hoặc một nhóm, hãy chọn một đơn vị tổ chức trên trình đơn bên.
  4. Đối với Giá trị, hãy chọn Đã bật.

  5. Thiết lập đặc quyền của tài khoản cho người dùng GCPW:

    • Để chỉ định cho người dùng tài khoản thông thường không có đặc quyền của quản trị viên, đối với Loại tài khoản người dùng, hãy chọn Người dùng thông thường.

    • Để chỉ định đặc quyền quản trị cục bộ cho người dùng, đối với Loại tài khoản người dùng, hãy chọn Quản trị viên cục bộ.

      Hạn chế của Windows: Người dùng GCPW sẽ được thêm vào nhóm quản trị viên sau khi họ đăng nhập lần đầu và thiết bị của họ đồng bộ hoá. Tuy nhiên, chế độ cài đặt về đặc quyền tài khoản của họ chỉ có hiệu lực sau lần đăng nhập tiếp theo.

  6. (Không bắt buộc) Để cấp đặc quyền quản trị viên cục bộ cho người dùng, nhóm người dùng Active Directory hoặc tài khoản người dùng Windows cục bộ hiện có, hãy thêm họ vào trường Tài khoản có quyền quản trị cục bộ. Hãy sử dụng các định dạng sau, phân tách nhiều giá trị bằng dấu phẩy:

    • Người dùng Active Directory: Miencuaban\nguoidung (ví dụ: Miencuaban\jsmith)
    • Nhóm Active Directory: Miencuaban\nhom (ví dụ: Miencuaban\jsmith, Miencuaban\Win11admins)
    • Người dùng cục bộ: tên người dùng (ví dụ: lrayes, YourDomain\jsmith, rnguyen, YourDomain\Win11admins, hcampbell, bkwan)

    Nếu bạn cung cấp một tên tài khoản không tồn tại, thì tài khoản mới sẽ không được tạo trên thiết bị. Những tài khoản không tồn tại sẽ bị bỏ qua và các tài khoản hợp lệ còn lại sẽ được xử lý. Việc xoá tên người dùng hoặc tên nhóm khỏi trường Tài khoản có quyền quản trị cục bộ không xoá các tên đó khỏi nhóm Quản trị viên cục bộ. Tuy nhiên, những tên đã xoá sẽ không được thêm vào trong các lần đồng bộ hoá thiết bị sau này.

    Lưu ý quan trọng: Bạn không nên sử dụng trường Tài khoản có quyền truy cập quản trị cục bộ. Trường này chỉ tồn tại cho mục đích lưu trữ và không cần thiết.

  7. Nhấp vào Lưu. Hoặc bạn có thể nhấp vào nút Ghi đè đối với một đơn vị tổ chức.

    Sau này, để khôi phục giá trị được kế thừa, hãy nhấp vào Kế thừa.

Khắc phục sự cố

Nếu các chế độ cài đặt quản trị không được áp dụng như bạn dự định, bạn có thể xem xét nhật ký sự kiện quản lý thiết bị trên thiết bị Windows để biết thông tin chẩn đoán chi tiết.

Cách xem nhật ký sự kiện quản lý thiết bị:

  1. Trên thiết bị mục tiêu, hãy mở Trình xem sự kiện. Bạn có thể tìm thấy Trình xem sự kiện bằng cách tìm kiếm trong trình đơn Bắt đầu của Windows.
  2. Chuyển đến Nhật ký ứng dụng và dịch vụ sau đó Microsoft sau đó Windows sau đó DeviceManagement-Enterprise-Diagnostics-Provider sau đó Quản trị viên.
  3. Xem xét các sự kiện liên quan đến CSP LocalUsersAndGroups.

Nhật ký mẫu:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Tổng quan: Tính năng bảo mật nâng cao cho máy tính trên Windows


Google, Google Workspace cũng như những nhãn hiệu và biểu trưng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.