Windows 10 또는 11 기기에서 계정 권한 설정하기

이 기능이 지원되는 버전: Frontline Starter, Frontline Standard, Frontline Plus, Business Plus, Enterprise Standard 및 Enterprise Plus, Education Standard, Education Plus, Endpoint Education Upgrade, Enterprise Essentials 및 Enterprise Essentials Plus, Cloud ID Premium  사용 중인 버전 비교하기

관리자는 Microsoft Windows 10 또는 11 기기에 대한 각 사용자의 로컬 관리 권한 수준 설정을 변경할 수 있습니다. 예를 들어 제한된 권한 또는 전체 권한을 허용할 수 있습니다. 이 권한 수준은 사용자의 Google 계정이 아닌 사용자의 Google 계정과 연결된 Windows 계정에 부여됩니다.

다른 기존 Windows 계정에 관리자 권한을 부여할 수도 있습니다. 이 계정은 아직 기기에 로그인한 적이 없는 경우에도 기기 또는 Microsoft Active Directory 사용자 및 그룹에 로컬 계정으로 표시될 수 있습니다.

시작하기 전에

로컬 관리 권한을 부여하려면 기기가 Windows 기기 관리에 등록되어 있어야 합니다.

관리자 권한 설정

시작하기 전에: 이 설정을 사용할 부서나 팀을 설정해야 하는 경우 조직 단위 추가하기를 참고하세요.

이 설정을 사용하면 Windows용 Google 사용자 인증 정보 제공 프로그램 (GCPW) 사용자의 로컬 관리 액세스를 관리할 수 있습니다. GCPW 사용자는 표준 사용자 또는 로컬 관리자일 수 있습니다.

이러한 권한 설정을 적용하기 위해 시스템은 기기 동기화 이벤트 중에 Microsoft LocalUsersAndGroups 구성 서비스 제공자 (CSP)를 사용합니다. Google 관리 콘솔에서 기기에 대한 로컬 관리 액세스 권한 관리가 사용 설정되면 CSP는 구성을 처리하여 GCPW 사용자 및 로컬 관리 액세스 권한이 있는 계정 필드에 포함된 기존 Active Directory 사용자, 그룹 또는 로컬 Windows 사용자에게 로컬 관리자 권한을 부여합니다.

  1. Google 관리 콘솔에서 메뉴 다음 기기 다음 모바일 및 엔드포인트 다음 설정 다음 Windows로 이동합니다. 

    서비스 및 기기 관리자 권한이 필요합니다.

  2. 계정 설정을 클릭합니다.
  3. (선택사항) 부서나 팀에 설정을 적용하려면 옆에서 조직 단위를 선택합니다.
  4. 에서 사용 설정됨을 선택합니다.

  5. GCPW 사용자의 계정 권한을 설정합니다.

    • 사용자에게 관리자 권한이 없는 일반 계정을 할당하려면 사용자 계정 유형에서 일반 사용자를 선택합니다.

    • 사용자에게 로컬 관리자 권한을 할당하려면 사용자 계정 유형에서 로컬 관리자를 선택합니다.

      Windows 제한사항: GCPW 사용자는 처음 로그인하고 기기가 동기화된 후 관리자 그룹에 추가됩니다. 하지만 계정 권한 설정은 다음 로그인 후에만 적용됩니다.

  6. (선택사항) 기존 Active Directory 사용자, Active Directory 그룹 또는 로컬 Windows 사용자 계정에 로컬 관리자 권한을 부여하려면 로컬 관리 액세스 권한이 있는 계정 필드에 추가합니다. 다음 형식을 사용하여 여러 값을 쉼표로 구분합니다.

    • Active Directory 사용자: YourDomain\user (예: YourDomain\jsmith)
    • Active Directory 그룹: YourDomain\group (예: YourDomain\jsmith, YourDomain\Win11admins)
    • 로컬 사용자: 사용자 이름 (예: lrayes, YourDomain\jsmith, rnguyen, YourDomain\Win11admins, hcampbell, bkwan)

    존재하지 않는 계정 이름을 입력하면 기기에 새 계정이 생성되지 않습니다. 존재하지 않는 계정은 무시되고 나머지 유효한 계정은 처리됩니다. 로컬 관리 액세스 권한이 있는 계정 필드에서 사용자 또는 그룹 이름을 삭제해도 로컬 관리자 그룹에서 삭제되지는 않습니다. 하지만 삭제된 이름은 향후 기기 동기화 중에 추가되지 않습니다.

    중요: 로컬 관리 액세스 권한이 있는 계정 필드는 사용하지 않는 것이 좋습니다. 이 필드는 기록 목적으로만 존재하며 필요하지 않을 수 있습니다.

  7. 저장을 클릭합니다. 또는 조직 단위에 대해 재정의를 클릭할 수도 있습니다.

    상속된 값을 나중에 복원하려면 상속을 클릭합니다.

문제 해결

관리 설정이 의도한 대로 적용되지 않는 경우 Windows 기기에서 기기 관리 이벤트 로그를 검토하여 자세한 진단 정보를 확인할 수 있습니다.

기기 관리 이벤트 로그를 보려면 다음 단계를 따르세요.

  1. 타겟 기기에서 이벤트 뷰어를 엽니다. Windows 시작 메뉴에서 이벤트 뷰어를 검색하여 찾을 수 있습니다.
  2. 애플리케이션 및 서비스 로그 다음 Microsoft 다음 Windows 다음 DeviceManagement-Enterprise-Diagnostics-Provider 다음 Admin으로 이동합니다.
  3. CSP LocalUsersAndGroups와 관련된 이벤트를 검토합니다.

예시 로그:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

개요: Windows용 향상된 데스크톱 보안


Google, Google Workspace 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.