Definir privilégios da conta em dispositivos Windows 10 ou 11

Edições que podem usar este recurso: Frontline Starter, Frontline Standard e Frontline Plus; Business Plus; Enterprise Standard e Enterprise Plus; Education Standard, Education Plus e Endpoint Education Upgrade; Enterprise Essentials e Enterprise Essentials Plus; Cloud Identity Premium.  Compare sua edição

Como administrador, você pode mudar a configuração do nível de privilégio administrativo local que um usuário pode ter nos dispositivos Microsoft Windows 10 ou 11. Por exemplo, é possível permitir controle limitado ou acesso total. Esse nível de privilégio é concedido à conta do Windows associada à Conta do Google do usuário, não à Conta do Google.

Você também pode conceder privilégios administrativos a outras contas do Windows. Essas contas podem ser locais para usuários e grupos do dispositivo ou do Microsoft Active Directory, mesmo que ainda não tenham feito login no dispositivo.

Antes de começar

Para conceder privilégios administrativos locais, o dispositivo precisa estar incluído no gerenciamento de dispositivos Windows.

Definir privilégios administrativos

Antes de começar: se você precisar criar um departamento ou equipe para essa configuração, acesse Adicionar uma unidade organizacional.

Essa configuração ajuda a gerenciar o acesso administrativo local para usuários do Provedor de credenciais do Google para Windows (GCPW). Um usuário do GCPW pode ser um usuário padrão ou um administrador local.

Para aplicar essas configurações de privilégio, o sistema usa o provedor de serviços de configuração (CSP) LocalUsersAndGroups da Microsoft durante o evento de sincronização do dispositivo. Quando a opção Gerenciar o acesso administrativo local aos dispositivos está ativada no Google Admin Console, o CSP processa a configuração para conceder privilégios de administrador local aos usuários do GCPW e aos usuários, grupos ou usuários locais do Windows incluídos no campo Contas com acesso administrativo local.

  1. No Google Admin Console, acesse Menu e depois Dispositivos e depois Dispositivos móveis e endpoints e depois Configurações e depois Windows

    Exige o privilégio de administrador Serviços e dispositivos.

  2. Clique em Configurações da conta.
  3. (Opcional) Para aplicar a configuração a um departamento ou equipe, selecione uma unidade organizacional na lateral.
  4. Em Valor, selecione Ativado.

  5. Defina os privilégios da conta para usuários do GCPW:

    • Para atribuir contas padrão aos usuários sem privilégios administrativos, em Tipo de conta de usuário, selecione Usuário padrão.

    • Para atribuir privilégios administrativos locais aos usuários, em Tipo de conta de usuário, selecione Administrador local.

      Limitação do Windows: os usuários do GCPW são adicionados ao grupo de administradores depois de fazer login pela primeira vez e o dispositivo é sincronizado. No entanto, a configuração dos privilégios da conta só entra em vigor após o próximo login.

  6. (Opcional) Para conceder privilégios de administrador local a usuários, grupos ou contas de usuário locais do Windows, adicione-os no campo Contas com acesso administrativo local. Use os formatos a seguir, separando vários valores com vírgulas:

    • Usuários do Active Directory: SeuDominio\usuario (por exemplo, SeuDominio\jsilva)
    • Grupos do Active Directory: SeuDominio\grupo (por exemplo, SeuDominio\jsilva, SeuDominio\Win11admins)
    • Usuários locais: nome de usuário (por exemplo, lrayes, SeuDomínio\jsilva, jpereira, SeuDomínio\Win11admins, hcampbell, bkwan)

    Se você informar um nome de conta que não existe, uma nova conta não será criada no dispositivo. As contas inexistentes são ignoradas, e as contas válidas restantes são processadas. A remoção de nomes de usuários ou grupos do campo Contas com acesso administrativo local não os remove do grupo de administradores locais. No entanto, os nomes removidos não são adicionados durante as sincronizações futuras do dispositivo.

    Importante:recomendamos não usar o campo Contas com acesso administrativo local. Esse campo existe apenas para fins históricos e é improvável que seja necessário.

  7. Clique em Salvar. Também é possível clicar em Substituir em uma unidade organizacional.

    Para restaurar depois o valor herdado, clique em Heredar.

Solução de problemas

Se as configurações administrativas não forem aplicadas como você pretendia, consulte os registros de eventos de gerenciamento de dispositivos no dispositivo Windows para informações de diagnóstico detalhadas.

Para conferir os registros de eventos de gerenciamento de dispositivos:

  1. No dispositivo de destino, abra o Visualizador de Eventos. Para encontrar o Visualizador de Eventos, pesquise por ele no menu "Iniciar" do Windows.
  2. Acesse Registros de aplicativos e serviços e depois Microsoft e depois Windows e depois DeviceManagement-Enterprise-Diagnostics-Provider e depois Admin.
  3. Analise os eventos relacionados ao CSP LocalUsersAndGroups.

Exemplo de registros:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Visão geral: Segurança aprimorada do computador para Windows


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais estão associados.