ضبط امتيازات الحساب على أجهزة Windows 10 أو Windows 11

الإصدارات المتوافقة مع هذه الميزة: Frontline Starter وFrontline Standard وFrontline Plus وBusiness Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEndpoint Education Upgrade وEnterprise Essentials وEnterprise Essentials Plus و"النسخة المدفوعة من Cloud Identity"  مقارنة إصدارك

بصفتك مشرفًا، يمكنك تغيير إعداد مستوى الامتيازات الإدارية المحلية التي يمكن أن يمتلكها المستخدم على الأجهزة التي تعمل بنظام تشغيل Microsoft Windows 10 أو 11. مثلاً، يمكنك السماح بالتحكُّم المحدود أو الوصول الكامل. ويُمنح مستوى الامتياز هذا لحساب Windows المرتبط بحساب مستخدم على Google، وليس لحساب Google للمستخدم.

يمكنك أيضًا منح امتيازات إدارية لحسابات Windows أخرى حالية. ويمكن أن تكون هذه الحسابات محلية لمستخدمي الجهاز أو Microsoft Active Directory، حتى إذا لم يسجلوا الدخول بعد إلى الجهاز.

قبل البدء

لمنح امتيازات إدارية محلية، يجب أن يكون الجهاز خاضعًا لإدارة أجهزة Windows.

ضبط الامتيازات الإدارية

قبل البدء: إذا كنت بحاجة إلى إعداد قسم أو فريق لهذا الإعداد، يمكنك الانتقال إلى إضافة وحدة تنظيمية.

يساعدك هذا الإعداد في إدارة الوصول الإداري المحلي لمستخدمي "مزوّد بيانات الاعتماد في Google لنظام التشغيل Windows" (GCPW). يمكن أن يكون مستخدم GCPW مستخدمًا عاديًا أو مشرفًا محليًا.

لتطبيق إعدادات الامتيازات هذه، يستخدم النظام "مقدّم خدمة ضبط LocalUsersAndGroups" من Microsoft (CSP) أثناء حدث مزامنة الجهاز. عند تفعيل إدارة الوصول الإداري المحلي إلى الأجهزة في "وحدة تحكُّم المشرف في Google"، يعالج مقدّم خدمة الضبط الإعداد لمنح امتيازات المشرف المحلي لمستخدمي GCPW ومستخدمي Active Directory الحاليين أو المجموعات أو مستخدمي Windows المحليين المضمّنين في حقل الحسابات التي تملك وصولاً إداريًا محليًا.

  1. في "وحدة تحكُّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأجهزة ثم الأجهزة الجوّالة ونقاط النهاية ثم الإعدادات ثم Windows

    يتطلب امتلاك امتياز مشرف الخدمات والأجهزة.

  2. النقر على إعدادات الحساب
  3. (اختياري) لتطبيق الإعداد على قسم أو فريق، اختَر وحدة تنظيمية من جانب الصفحة.
  4. بالنسبة إلى القيمة، اختَر مفعَّل.

  5. اضبط امتيازات الحساب لمستخدمي GCPW:

    • لمنح المستخدمين حسابات عادية بدون امتيازات المشرف، اختَر مستخدم عادي في نوع حساب المستخدم.

    • لمنح المستخدمين امتيازات المشرف المحلي، اختَر مشرف محلي في نوع حساب المستخدم .

      قيود Windows: تتم إضافة مستخدمي GCPW إلى مجموعة المشرفين بعد تسجيل الدخول للمرة الأولى ومزامنة أجهزتهم. ومع ذلك، لا يسري إعداد امتيازات حساباتهم إلا بعد تسجيل الدخول التالي.

  6. (اختياري) لمنح امتيازات المشرف المحلي لمستخدمي Active Directory الحاليين أو مجموعات Active Directory أو حسابات المستخدمين المحلية على Windows، أضِفهم في حقل الحسابات التي تملك وصولاً إداريًا محليًا. استخدِم التنسيقات التالية، مع الفصل بين القيم المتعدّدة بفواصل:

    • مستخدمو Active Directory: النطاق\المستخدم (مثلاً، النطاق\sami)
    • مجموعات Active Directory: النطاق\المجموعة (مثلاً، النطاق\sami، النطاق\مشرفوWin11)
    • المستخدمون المحليون: اسم المستخدم (مثلاً، amir، النطاق\sami، adel، النطاق\مشرفوWin11، hcampbell، bkwan)

    إذا أدخلت اسم حساب غير موجود، لن يتم إنشاء حساب جديد على الجهاز. سيتم تجاهل الحسابات غير الموجودة، وستتم معالجة الحسابات الصالحة المتبقية. لا يؤدي إزالة أسماء المستخدمين أو المجموعات من حقل الحسابات التي تملك وصولاً إداريًا محليًا إلى إزالتها من مجموعة "المشرف المحلي". ومع ذلك، لن تتم إضافة الأسماء التي تمت إزالتها أثناء عمليات مزامنة الأجهزة المستقبلية.

    ملاحظة مهمة: ننصح بعدم استخدام حقل الحسابات التي تملك وصولاً إداريًا محليًا. لا يتوفّر هذا الحقل إلا لأغراض تاريخية ومن غير المرجّح أن تحتاج إليه.

  7. انقر على حفظ. أو انقر على إلغاء بالنسبة إلى الوحدات التنظيمية.

    لاستعادة القيمة المكتسَبة لاحقًا، انقر على اكتساب.

تحديد المشاكل وحلّها

إذا لم يتم تطبيق الإعدادات الإدارية على النحو المطلوب، يمكنك مراجعة سجلّات أحداث إدارة الأجهزة على جهاز Windows للحصول على معلومات تشخيصية مفصّلة.

لعرض سجلّات أحداث إدارة الأجهزة:

  1. على جهاز الاختبار، افتح عارض الأحداث. يمكنك العثور على "عارض الأحداث" من خلال البحث عنه في قائمة "ابدأ" في Windows.
  2. انتقِل إلى سجلّات التطبيقات والخدمات ثم Microsoft ثم Windows ثم DeviceManagement-Enterprise-Diagnostics-Provider ثم المشرف.
  3. راجِع الأحداث ذات الصلة بمقدّم خدمة الضبط LocalUsersAndGroups.

نماذج السجلّات:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

نظرة عامة: خدمة أمان جهاز كمبيوتر سطح المكتب المُحسَّنة لنظام التشغيل Windows


إنّ Google وGoogle Workspace والعلامات والشعارات ذات الصلة هي علامات تجارية (TM) تابعة لشركة Google LLC. وجميع أسماء الشركات والمنتجات الأخرى هي علامات تجارية (TM) تملكها الشركات ذات الصلة بها.