在 Windows 10 或 11 裝置上設定帳戶權限

支援這項功能的版本:Frontline Starter、Frontline Standard 和 Frontline Plus;Business Plus;Enterprise Standard 和 Enterprise Plus;Education Standard、Education Plus 和 Endpoint Education Upgrade;Enterprise Essentials 和 Enterprise Essentials Plus;Cloud Identity 進階版。  版本比較

管理員可以變更使用者在 Microsoft Windows 10 或 11 裝置上擁有的本機管理員權限層級。舉例來說,您可以讓使用者只得到部分控制權,或是為他們提供完整權限。這種權限層級授予的對象為與使用者 Google 帳戶相關聯的 Windows 帳戶,而非使用者的 Google 帳戶本身。

您也可以將系統管理權限授予其他現有的 Windows 帳戶。 比如裝置上的本機帳戶,或是 Microsoft Active Directory 使用者和群組的帳戶。即使是裝置尚未登入的帳戶,您也可以先行設定。

事前準備

如要授予本機管理員權限,請務必先在相關裝置上啟用 Windows 裝置管理服務。

設定管理員權限

事前準備:如要為部門或團隊套用這項設定,請參閱「新增機構單位」。

這項設定可協助您管理 Google 憑證提供者 Windows 版 (GCPW) 使用者的本機管理存取權。GCPW 使用者可以是標準使用者或本機管理員。

如要套用這些權限設定,系統會在裝置同步處理事件期間,使用 Microsoft LocalUsersAndGroups 設定服務供應商 (CSP)。在 Google 管理控制台中開啟「管理裝置的本機管理員存取權」後,CSP 會處理設定,將本機管理員權限授予 GCPW 使用者,以及「具備本機管理員存取權的帳戶」欄位中現有的 Active Directory 使用者、群組或本機 Windows 使用者。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「裝置」接下來「行動裝置和端點」接下來「設定」接下來「Windows」

    必須具備服務和裝置管理員權限。

  2. 按一下 [帳戶設定]。
  3. (選用) 如要對部門或團隊套用設定,請在側邊選取所需組織單位
  4. 在「值」部分,選取「已啟用」

  5. 為 GCPW 使用者設定帳戶權限:

    • 如要將不具備管理員權限的標準帳戶指派給使用者,請選取「使用者帳戶類型」的「標準使用者」

    • 如要將本機管理員權限指派給使用者,請選取「使用者帳戶類型」的「本機管理員」

      Windows 限制:GCPW 使用者首次登入並同步裝置後,就會加入管理員群組。不過,帳戶權限設定必須等到使用者下次登入時才會生效。

  6. (選用) 如要將本機管理員權限授予現有的 Active Directory 使用者、Active Directory 群組或本機 Windows 使用者帳戶,請在「具備本機管理員存取權的帳戶」欄位中新增這些帳戶。請使用下列格式,並以半形逗號分隔多個值:

    • Active Directory 使用者:<您的網域>\<使用者> (例如:<您的網域>\jsmith)
    • Active Directory 群組:<您的網域>\<群組> (例如:<您的網域>\jsmith、<您的網域>\Win11admins)
    • 本機使用者:<使用者名稱> (例如 lrayes、<您的網域>\jsmith、rnguyen、<您的網域>\Win11admins、hcampbell、bkwan)

    如果您提供的帳戶名稱不存在,系統不會在裝置上建立新帳戶。系統會忽略不存在的帳戶,並處理其餘有效帳戶。從「具有本機管理存取權的帳戶」欄位移除使用者或群組名稱,不會將他們從本機管理員群組中移除。不過,系統不會在日後的裝置同步作業中新增已移除的名稱。

    重要事項:建議不要使用「具有本機管理存取權的帳戶」欄位。這個欄位僅供歷史記錄用途,不太可能需要使用。

  7. 按一下「儲存」。如果是機構單位,您也可以按一下「覆寫」

    如要日後還原沿用的值,請按一下「沿用」

疑難排解

如果管理設定未如預期套用,您可以在 Windows 裝置上查看裝置管理事件記錄,取得詳細的診斷資訊。

如要查看裝置管理事件記錄,請按照下列步驟操作:

  1. 在目標裝置上開啟「事件檢視器」。在 Windows「開始」選單中搜尋「事件檢視器」,即可找到該工具。
  2. 依序前往「應用程式及服務記錄檔」接下來「Microsoft」 接下來「Windows」接下來 「DeviceManagement-Enterprise-Diagnostics-Provider」接下來 「Admin」
  3. 查看與 CSP LocalUsersAndGroups 相關的事件。

記錄範例:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

總覽:Windows 專用的進階電腦安全性服務


Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標。所有其他公司和產品名稱則是與個別公司關聯的商標。