Ustawianie uprawnień konta na urządzeniach z systemem Windows 10 lub 11

Ta funkcja jest dostępna w tych wersjach: Frontline Starter, Frontline Standard i Frontline Plus; Business Plus; Enterprise Standard i Enterprise Plus; Education Standard, Education Plus i Endpoint Education Upgrade; Enterprise Essentials i Enterprise Essentials Plus; Cloud Identity Premium.  Porównanie wersji

Jako administrator możesz zmienić ustawienie lokalnego poziomu uprawnień administracyjnych, które użytkownik może mieć na urządzeniach z systemem Microsoft Windows 10 lub 11. Możesz na przykład przyznać mu ograniczoną kontrolę lub pełny dostęp. Ten poziom uprawnień jest przyznawany kontu Windows powiązanemu z kontem Google użytkownika, a nie kontu Google użytkownika.

Możesz też przyznać uprawnienia administracyjne innym istniejącym kontom systemu Windows. Mogą być to konta przypisane do urządzenia lub użytkowników i grup Microsoft Active Directory, nawet jeśli nie zalogowali się jeszcze na urządzeniu.

Zanim zaczniesz

Aby można było przyznać lokalne uprawnienia administracyjne, urządzenie musi być objęte zarządzaniem urządzeniami z systemem Windows.

Ustawianie uprawnień administracyjnych

Zanim zaczniesz: jeśli musisz skonfigurować dział lub zespół dla tego ustawienia, przeczytaj artykuł Dodawanie jednostki organizacyjnej.

To ustawienie pomaga zarządzać lokalnym dostępem administracyjnym użytkowników dostawcy danych uwierzytelniających Google do systemów Windows (GCPW). Użytkownik GCPW może być użytkownikiem standardowym lub lokalnym administratorem.

Aby zastosować te ustawienia uprawnień, system używa dostawcy usług konfiguracji (CSP) Microsoft LocalUsersAndGroups podczas synchronizacji urządzenia. Gdy w konsoli administracyjnej Google włączona jest opcja Zarządzaj lokalnym dostępem administracyjnym do urządzeń, dostawca usług kryptograficznych przetwarza konfigurację, aby przyznać lokalne uprawnienia administratora użytkownikom GCPW oraz dotychczasowym użytkownikom, grupom lub lokalnym użytkownikom systemu Windows w Active Directory, którzy są uwzględnieni w polu Konta z lokalnym dostępem administracyjnym.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Urządzenia a potem Urządzenia mobilne i punkty końcowe a potem Ustawienia a potem Windows

    Wymaga uprawnień administratora Usługi i urządzenia.

  2. Kliknij Ustawienia konta.
  3. (Opcjonalnie) aby zastosować ustawienie na potrzeby działu lub zespołu, z boku wybierz jednostkę organizacyjną.
  4. W polu Wartość wybierz Włączono.

  5. Ustaw uprawnienia konta dla użytkowników GCPW:

    • Aby przypisać użytkownikom konta standardowe bez uprawnień administratora, w sekcji Typ konta użytkownika wybierz Zwykły użytkownik.

    • Aby przyznać użytkownikom uprawnienia administratorów lokalnych, w sekcji Typ konta użytkownika wybierz Administrator lokalny.

      Ograniczenie systemu Windows: użytkownicy GCPW są dodawani do grupy administratorów po pierwszym zalogowaniu się i zsynchronizowaniu urządzenia. Jednak ustawienie uprawnień do konta zacznie obowiązywać dopiero po następnym zalogowaniu się użytkownika.

  6. (Opcjonalnie) Aby przyznać lokalne uprawnienia administracyjne dotychczasowym użytkownikom Active Directory, grupom Active Directory lub lokalnym kontom użytkowników systemu Windows, dodaj ich w polu Konta z lokalnym dostępem administracyjnym. Użyj tych formatów, rozdzielając poszczególne wartości przecinkami:

    • Użytkownicy Active Directory: TwojaDomena\użytkownik (np. TwojaDomena\jkowalski)
    • Grupy Active Directory: TwojaDomena\grupa (np. TwojaDomena\jkowalski, TwojaDomena\administratorzyWin11)
    • Użytkownicy lokalni: nazwa użytkownika (np. lrayes, TwojaDomena\jkowalski, zmazur, TwojaDomena\administratorzyWin11, hcampbell, bkwan)

    Jeśli podasz nazwę konta, które nie istnieje, nowe konto nie zostanie utworzone na urządzeniu. Nieistniejące konta są pomijane, a pozostałe prawidłowe konta są przetwarzane. Usunięcie nazw użytkowników lub grup z pola Konta z lokalnym dostępem administracyjnym nie spowoduje usunięcia ich z grupy administratorów lokalnych. Usunięte nazwy nie są jednak dodawane podczas przyszłych synchronizacji urządzeń.

    Ważne: nie zalecamy korzystania z pola Konta z lokalnym dostępem administracyjnym. To pole istnieje tylko ze względów historycznych i prawdopodobnie nie będzie potrzebne.

  7. Kliknij Zapisz. W przypadku jednostki organizacyjnej możesz też kliknąć Zastąp.

    Aby później przywrócić odziedziczoną wartość, kliknij Odziedzicz.

Rozwiązywanie problemów

Jeśli ustawienia administracyjne nie są stosowane zgodnie z Twoimi oczekiwaniami, możesz przejrzeć dzienniki zdarzeń zarządzania urządzeniami na urządzeniu z systemem Windows, aby uzyskać szczegółowe informacje diagnostyczne.

Aby wyświetlić dzienniki zdarzeń związanych z zarządzaniem urządzeniami:

  1. Na urządzeniu docelowym otwórz Podgląd zdarzeń. Podgląd zdarzeń znajdziesz, wyszukując go w menu Start systemu Windows.
  2. Otwórz Dzienniki aplikacji i usług a potem Microsoft a potem Windows a potem DeviceManagement-Enterprise-Diagnostics-Provider a potem Administrator.
  3. Sprawdź zdarzenia związane z dostawcą usług CSP LocalUsersAndGroups.

Przykładowe logi:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Omówienie: rozszerzona ochrona komputera z systemem Windows


Google, Google Workspace i znaki pokrewne są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.