Kontoberechtigungen auf Windows 10- oder 11-Geräten festlegen

Unterstützte Versionen für diese Funktion: Frontline Starter, Frontline Standard und Frontline Plus; Business Plus; Enterprise Standard und Enterprise Plus; Education Standard, Education Plus und Endpoint Education Upgrade; Enterprise Essentials und Enterprise Essentials Plus; Cloud Identity Premiumversion.  Versionen vergleichen

Als Administrator können Sie die Einstellung für die lokale Administratorberechtigungsstufe ändern, die ein Nutzer auf seinen Microsoft Windows 10- oder 11-Geräten haben darf. Sie können beispielsweise eingeschränkte Steuerungsmöglichkeiten oder vollständigen Zugriff gewähren. Diese Berechtigungsstufe wird dem Windows-Konto gewährt, das mit dem Google-Konto eines Nutzers verknüpft ist, nicht dem Google-Konto eines Nutzers.

Sie können auch Administratorberechtigungen für andere vorhandene Windows-Konten erteilen. Beispiele sind Konten, die sich lokal auf dem Gerät befinden, oder Microsoft Active Directory-Nutzer und ‑Gruppen, auch wenn sie sich noch nicht auf dem Gerät angemeldet haben.

Hinweis

Um lokale Administratorberechtigungen zu erteilen, muss das Gerät der Windows-Geräteverwaltung unterliegen.

Administratorberechtigungen festlegen

Hinweis:Wenn Sie für diese Einstellung eine Abteilung oder ein Team einrichten möchten, lesen Sie den Hilfeartikel Organisationseinheit hinzufügen.

Mit dieser Einstellung können Sie den lokalen Administratorzugriff für Nutzer des Google-Anmeldeinformationsanbieters für Windows (Google Credential Provider for Windows, GCPW) verwalten. Ein GCPW-Nutzer kann ein Standardnutzer oder ein lokaler Administrator sein.

Um diese Berechtigungseinstellungen anzuwenden, verwendet das System während der Gerätesynchronisierung den Microsoft-Konfigurationsdienstanbieter LocalUsersAndGroups (Configuration Service Provider, CSP). Wenn in der Google Admin-Konsole die Option Lokalen Administratorzugriff auf Geräte verwalten aktiviert ist, verarbeitet der CSP die Konfiguration, um GCPW-Nutzern und den vorhandenen Active Directory-Nutzern, ‑Gruppen oder lokalen Windows-Nutzern, die im Feld Konten mit lokalem Administratorzugriff enthalten sind, lokale Administratorberechtigungen zu erteilen.

1. Klicken Sie in der Google Admin-Konsole auf das Dreistrichmenü Geräte Mobilgeräte und Endpunkte Einstellungen Windows.

   Zu Windows

   Hierfür benötigen Sie die Administratorberechtigung „Dienste und Geräte“.

2. Klicken Sie auf Kontoeinstellungen.
3. Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus.
4. Wählen Sie für Wert die Option Aktiviert aus.

5. Legen Sie die Kontoberechtigungen für GCPW-Nutzer fest:

   • Wenn Sie Nutzern Standardkonten ohne Administratorberechtigungen zuweisen möchten, wählen Sie für Nutzerkontotyp die Option Standardnutzer aus.

   • Wenn Sie Nutzern lokale Administratorberechtigungen zuweisen möchten, wählen Sie für Nutzerkontotyp die Option Lokaler Administrator aus.

     Windows-Einschränkung: GCPW-Nutzer werden der Gruppe „Administratoren“ hinzugefügt, nachdem sie sich zum ersten Mal angemeldet und ihr Gerät synchronisiert wurde. Die Einstellung für ihre Kontoberechtigungen wird jedoch erst bei der nächsten Anmeldung wirksam.

6. Optional: Wenn Sie vorhandenen Active Directory-Nutzern oder ‑Gruppen oder lokalen Windows-Nutzerkonten lokale Administratorberechtigungen erteilen möchten, fügen Sie sie im Feld Konten mit lokalem Administratorzugriff hinzu. Verwenden Sie die folgenden Formate und trennen Sie mehrere Werte durch Kommas:

   • Active Directory-Nutzer: IhreDomain\Nutzer (z. B. IhreDomain\jschmidt)
   • Active Directory-Gruppen: IhreDomain\Gruppe (z. B. IhreDomain\jschmidt, IhreDomain\Win11admins)
   • Lokale Nutzer: Nutzername (z. B. lrayes, IhreDomain\jschmidt, rnguyen, IhreDomain\Win11admins, hcampbell, bkwan)

   Wenn Sie einen Kontonamen angeben, der nicht vorhanden ist, wird auf dem Gerät kein neues Konto erstellt. Nicht vorhandene Konten werden ignoriert und die übrigen gültigen Konten werden verarbeitet. Wenn Sie Nutzer- oder Gruppennamen aus dem Feld Konten mit lokalem Administratorzugriff entfernen, werden sie nicht aus der Gruppe „Lokaler Administrator“ entfernt. Die entfernten Namen werden jedoch bei zukünftigen Gerätesynchronisierungen nicht hinzugefügt.

   Wichtig:Wir empfehlen, das Feld Konten mit lokalem Administratorzugriff nicht zu verwenden. Dieses Feld ist nur aus historischen Gründen vorhanden und wird wahrscheinlich nicht benötigt.

7. Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.

   Wenn Sie den übernommenen Wert später wiederherstellen möchten, klicken Sie auf Übernehmen.

Fehlerbehebung

Wenn die Administratoreinstellungen nicht wie gewünscht angewendet werden, können Sie die Ereignisprotokolle der Geräteverwaltung auf dem Windows-Gerät auf detaillierte Diagnoseinformationen überprüfen.

So rufen Sie die Ereignisprotokolle der Geräteverwaltung auf:

1. Öffnen Sie auf dem Zielgerät die Ereignisanzeige. Sie können die Ereignisanzeige im Windows-Startmenü suchen.
2. Gehen Sie zu Anwendungs- und Dienstprotokolle Microsoft Windows DeviceManagement-Enterprise-Diagnostics-Provider Administrator.
3. Prüfen Sie die Ereignisse, die mit dem CSP LocalUsersAndGroups zusammenhängen.

Beispielprotokolle:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Weitere Informationen

Übersicht: Erhöhte Computersicherheit für Windows

Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.