Thiết lập đặc quyền cho tài khoản trên thiết bị Windows 10 hoặc 11

Các phiên bản được hỗ trợ cho tính năng này: Frontline Starter, Frontline Standard và Frontline Plus; Business Plus; Enterprise Standard và Enterprise Plus; Education Standard, Education Plus và Endpoint Education Upgrade; Enterprise Essentials và Enterprise Essentials Plus; Cloud Identity Premium.  So sánh phiên bản của bạn

Khi làm quản trị viên, bạn có thể thay đổi chế độ cài đặt cho cấp đặc quyền quản trị cục bộ mà người dùng có thể có trên thiết bị Microsoft Windows 10 hoặc 11. Ví dụ: bạn có thể cho phép kiểm soát hạn chế hoặc truy cập đầy đủ. Cấp đặc quyền này được cấp cho tài khoản Windows liên kết với Tài khoản Google của người dùng, chứ không phải Tài khoản Google của người dùng.

Bạn cũng có thể cấp đặc quyền quản trị cho các tài khoản Windows hiện có khác. Các tài khoản này có thể là tài khoản cục bộ trên thiết bị hoặc người dùng và nhóm Microsoft Active Directory, ngay cả khi họ chưa đăng nhập vào thiết bị.

Trước khi bắt đầu

Để cấp đặc quyền quản trị cục bộ, thiết bị phải thuộc chế độ quản lý thiết bị Windows.

Thiết lập đặc quyền quản trị

Trước khi bắt đầu: Nếu bạn cần thiết lập một bộ phận hoặc nhóm cho chế độ cài đặt này, hãy tham khảo bài viết Thêm một đơn vị tổ chức.

Chế độ cài đặt này giúp bạn quản lý quyền truy cập quản trị cục bộ cho người dùng Trình cung cấp thông tin đăng nhập Google dành cho Windows (GCPW). Người dùng GCPW có thể là người dùng thông thường hoặc quản trị viên cục bộ.

Để áp dụng các chế độ cài đặt đặc quyền này, hệ thống sẽ sử dụng Trình cung cấp dịch vụ cấu hình (CSP) LocalUsersAndGroups của Microsoft trong sự kiện đồng bộ hoá thiết bị. Khi bạn bật chế độ Quản lý quyền quản trị cục bộ vào thiết bị trong Bảng điều khiển dành cho quản trị viên của Google, CSP sẽ xử lý cấu hình để cấp đặc quyền của quản trị viên cục bộ cho người dùng GCPW và người dùng, nhóm Active Directory hiện có hoặc người dùng Windows cục bộ có trong trường Tài khoản có quyền quản trị cục bộ.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn sau đó Thiết bị sau đó Thiết bị di động và thiết bị đầu cuối sau đó Cài đặt sau đó Windows

    Bạn phải có đặc quyền Dịch vụ và thiết bị của quản trị viên.

  2. Nhấp vào Cài đặt tài khoản.
  3. (Không bắt buộc) Để áp dụng chế độ cài đặt này cho một bộ phận hoặc một nhóm, hãy chọn một đơn vị tổ chức ở bên cạnh.
  4. Đối với Giá trị, hãy chọn Đã bật.

  5. Thiết lập đặc quyền của tài khoản cho người dùng GCPW:

    • Để chỉ định tài khoản thông thường cho người dùng mà không có đặc quyền quản trị, đối với Loại tài khoản người dùng, hãy chọn Người dùng thông thường.

    • Để chỉ định đặc quyền quản trị cục bộ cho người dùng, đối với Loại tài khoản người dùng, hãy chọn Quản trị viên cục bộ.

      Giới hạn của Windows: Người dùng GCPW được thêm vào nhóm quản trị viên sau khi đăng nhập lần đầu tiên và thiết bị của họ đồng bộ hoá. Tuy nhiên, chế độ cài đặt cho đặc quyền của tài khoản chỉ có hiệu lực sau lần đăng nhập tiếp theo.

  6. (Không bắt buộc) Để cấp đặc quyền quản trị cục bộ cho người dùng Active Directory hiện có, nhóm Active Directory hoặc tài khoản người dùng Windows cục bộ, hãy thêm các tài khoản đó vào trường Tài khoản có quyền quản trị cục bộ. Sử dụng các định dạng sau, phân tách nhiều giá trị bằng dấu phẩy:

    • Người dùng Active Directory: YourDomain\user (ví dụ: YourDomain\jsmith)
    • Nhóm Active Directory: YourDomain\group (ví dụ: YourDomain\jsmith, YourDomain\Win11admins)
    • Người dùng cục bộ: tên người dùng (ví dụ: lrayes, YourDomain\jsmith, rnguyen, YourDomain\Win11admins, hcampbell, bkwan)

    Nếu bạn cung cấp tên tài khoản không tồn tại, thì tài khoản mới sẽ không được tạo trên thiết bị. Các tài khoản không tồn tại sẽ bị bỏ qua và các tài khoản hợp lệ còn lại sẽ được xử lý. Việc xoá tên người dùng hoặc nhóm khỏi trường Tài khoản có quyền quản trị cục bộ không xoá các tên đó khỏi nhóm Quản trị viên cục bộ. Tuy nhiên, các tên đã xoá sẽ không được thêm trong các lần đồng bộ hoá thiết bị trong tương lai.

    Quan trọng: Bạn không nên sử dụng trường Tài khoản có quyền quản trị cục bộ. Trường này chỉ tồn tại cho mục đích lưu trữ và có thể không cần thiết.

  7. Nhấp vào Lưu. Hoặc bạn có thể nhấp vào nút Ghi đè đối với đơn vị tổ chức.

    Sau này, để khôi phục giá trị được kế thừa, hãy nhấp vào Kế thừa.

Khắc phục sự cố

Nếu chế độ cài đặt quản trị không được áp dụng như bạn dự định, bạn có thể xem nhật ký sự kiện quản lý thiết bị trên thiết bị Windows để biết thông tin chẩn đoán chi tiết.

Cách xem nhật ký sự kiện quản lý thiết bị:

  1. Trên thiết bị mục tiêu, hãy mở Trình xem sự kiện. Bạn có thể tìm thấy Trình xem sự kiện bằng cách tìm kiếm trong trình đơn Bắt đầu của Windows.
  2. Chuyển đến Nhật ký ứng dụng và dịch vụ sau đó Microsoft sau đó Windows sau đó DeviceManagement-Enterprise-Diagnostics-Provider sau đó Quản trị viên.
  3. Xem lại các sự kiện liên quan đến CSP LocalUsersAndGroups.

Nhật ký mẫu:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Tổng quan: Khả năng bảo mật nâng cao cho máy tính chạy Windows


Google, Google Workspace và những nhãn hiệu cũng như biểu tượng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.