Impostare i privilegi dell'account sui dispositivi Windows 10 o Windows 11

Versioni supportate per questa funzionalità: Frontline Starter, Frontline Standard e Frontline Plus; Business Plus; Enterprise Standard ed Enterprise Plus; Education Standard, Education Plus ed Endpoint Education Upgrade; Enterprise Essentials ed Enterprise Essentials Plus; Cloud Identity Premium.  Confronta la tua versione

In qualità di amministratore, puoi modificare l'impostazione per il livello dei privilegi amministrativi locali che possono essere assegnati agli utenti sui loro dispositivi Microsoft Windows 10 o 11. Ad esempio, puoi consentire un controllo limitato o l'accesso completo. Questo livello di privilegi viene concesso all'account Windows associato all'Account Google dell'utente, non al suo Account Google.

Puoi anche concedere privilegi amministrativi ad altri account Windows esistenti. Questi ultimi possono essere account locali sul dispositivo oppure utenti e gruppi di Microsoft Active Directory, anche se non hanno ancora effettuato l'accesso al dispositivo.

Prima di iniziare

Per concedere privilegi amministrativi locali, al dispositivo deve essere applicata la gestione dei dispositivi Windows.

Impostare i privilegi amministrativi

Prima di iniziare: se devi configurare un reparto o un team per questa impostazione, vedi Aggiungi un'unità organizzativa.

Questa impostazione ti aiuta a gestire l'accesso amministrativo locale per gli utenti di Provider di credenziali Google per Windows (GCPW). Un utente GCPW può essere un utente standard o un amministratore locale.

Per applicare queste impostazioni dei privilegi, il sistema utilizza il provider del servizio di configurazione (CSP) LocalUsersAndGroups di Microsoft durante l'evento di sincronizzazione del dispositivo. Quando l'opzione Gestisci l'accesso amministrativo locale ai dispositivi è attiva nella Console di amministrazione Google, il CSP elabora la configurazione per concedere i privilegi di amministratore locale agli utenti GCPW e agli utenti, ai gruppi o agli utenti locali di Active Directory esistenti inclusi nel campo Account con accesso amministrativo locale.

  1. Nella Console di amministrazione Google, vai a Menu e poi Dispositivi e poi Dispositivi mobili ed endpoint e poi Impostazioni e poi Windows.

    È necessario disporre del privilegio di amministratore Servizi e dispositivi.

  2. Fai clic su Impostazioni account.
  3. (Facoltativo) Per applicare l'impostazione a un reparto o a un team, seleziona un'unità organizzativa a lato.
  4. In Valore, seleziona Attivata.

  5. Imposta i privilegi dell'account per gli utenti GCPW:

    • Per assegnare agli utenti account standard senza privilegi amministrativi, in Tipo di account utente, seleziona Utente standard.

    • Per assegnare agli utenti privilegi amministrativi locali, in Tipo di account utente, seleziona Amministratore locale.

      Limitazione di Windows: gli utenti GCPW vengono aggiunti al gruppo degli amministratori dopo il primo accesso e la sincronizzazione del dispositivo. Tuttavia, l'impostazione dei privilegi dell'account diventa effettiva solo dopo il successivo accesso.

  6. (Facoltativo) Per concedere privilegi di amministratore locale agli utenti, ai gruppi o agli account utente locali di Windows di Active Directory esistenti, aggiungili nel campo Account con accesso amministrativo locale. Utilizza i seguenti formati, separando più valori con una virgola:

    • Utenti di Active Directory: Dominio\utente (ad esempio, Dominio\mrossi)
    • Gruppi di Active Directory: Dominio\gruppo (ad esempio, Dominio\mrossi, Dominio\AmministratoriWin11)
    • Utenti locali: nomeutente (ad esempio, pverdi, Dominio\mrossi, rbianchi, Dominio\AmministratoriWin11, hcampbell, bkwan)

    Se fornisci un nome account inesistente, non viene creato un nuovo account sul dispositivo. Gli account inesistenti vengono ignorati e vengono elaborati i rimanenti account validi. La rimozione dei nomi di utenti o gruppi dal campo Account con accesso amministrativo locale non li rimuove dal gruppo Amministratore locale. Tuttavia, i nomi rimossi non vengono aggiunti durante le sincronizzazioni future dei dispositivi.

    Importante:ti consigliamo di non utilizzare il campo Account con accesso amministrativo locale. Questo campo esiste solo per motivi storici ed è improbabile che sia necessario.

  7. Fai clic su Salva. In alternativa, puoi fare clic su Sostituisci per un'unità organizzativa.

    Per ripristinare in un secondo momento il valore ereditato, fai clic su Eredita.

Risoluzione dei problemi

Se le impostazioni amministrative non vengono applicate come previsto, puoi esaminare i log degli eventi di gestione dei dispositivi sul dispositivo Windows per informazioni diagnostiche dettagliate.

Per visualizzare i log degli eventi di gestione dei dispositivi:

  1. Sul dispositivo di destinazione, apri il Visualizzatore eventi. Puoi trovare il Visualizzatore eventi cercandolo nel menu Start di Windows.
  2. Vai a Log di applicazioni e servizi e poi Microsoft e poi Windows e poi DeviceManagement-Enterprise-Diagnostics-Provider e poi Amministratore.
  3. Esamina gli eventi correlati al CSP LocalUsersAndGroups.

Esempio di log:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Panoramica: sicurezza desktop avanzata per Windows


Google, Google Workspace e i marchi e i loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.