在 Windows 10 或 11 设备上设置账号权限

以下版本支持此功能:一线员工新手版、一线员工标准版和一线员工 Plus 版;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和 Endpoint Education Upgrade;企业基本功能版和企业基本功能 Plus 版;Cloud Identity 专业版。  对比版本

作为管理员,您可以更改用户在其 Microsoft Windows 10 或 11 设备上拥有的本地管理员权限级别的设置。例如,您可以提供受限的控制权限或完整访问权限。此权限级别会授予与用户的 Google 账号相关联的 Windows 账号,而非用户的 Google 账号。

您也可以为其他现有 Windows 账号授予管理员权限。这些账号可以是设备的本地账号或 Microsoft Active Directory 用户和群组的账号(无论他们是否登录了设备)。

准备工作

如要授予本地管理员权限,设备必须启用 Windows 设备管理服务。

设置管理员权限

准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门

此设置可帮助您管理 Windows 版 Google 凭据提供程序 (GCPW) 用户的本地管理员访问权限。GCPW 用户可以是标准用户,也可以是本地管理员。

如需应用这些权限设置,系统会在设备同步事件期间使用 Microsoft LocalUsersAndGroups 配置服务提供商 (CSP)。在 Google 管理控制台中启用管理对设备的本地管理员访问权限 后,CSP 会处理配置,以便向 GCPW 用户以及具有本地管理员访问权限的账号 字段中包含的现有 Active Directory 用户、群组或本地 Windows 用户授予本地管理员权限。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 设备 然后 移动设备和端点 然后 设置 然后 Windows

    需要拥有“服务和设备”管理员权限。

  2. 点击账号设置
  3. (可选)如要将设置应用于某个部门或团队,请在侧边选择一个组织部门
  4. 对于,请选择已启用

  5. 为 GCPW 用户设置账号权限:

    • 如要为用户分配不具有管理员权限的标准账号,请针对 用户账号类型 选择 标准用户

    • 如要为用户分配本地管理员权限,请针对用户账号 类型 选择本地管理员

      Windows 限制:GCPW 用户在首次登录并同步设备后会被添加到管理员群组。不过,其账号权限设置仅在下次登录后才会生效。

  6. (可选)如要向现有 Active Directory 用户、Active Directory 群组或本地 Windows 用户账号授予本地管理员权限,请在具有本地管理员访问权限的账号 字段中添加这些账号。请使用以下格式,并用英文逗号分隔多个值:

    • Active Directory 用户<您的域名>\用户(例如: <您的域名>\jsmith)
    • Active Directory 群组<您的域名>\群组(例如: <您的域名>\jsmith、<您的域名>\Win11 管理员)
    • 本地用户用户名(例如:lrayes、您的域名\jsmith、 rnguyen、您的域名\Win11 管理员、hcampbell、bkwan)

    如果您提供的账号名称不存在,则系统不会在设备上创建新账号。系统会忽略不存在的账号,并处理其余有效账号。从具有本地管理员访问权限的账号 字段中移除用户或群组名称不会将其从本地管理员群组中移除。不过,在以后的设备同步过程中,系统不会添加已移除的名称。

    重要提示 :我们建议您不要使用具有本地管理员访问权限的账号 字段。此字段仅用于历史记录,您可能不需要使用它。

  7. 点击保存 。您也可以针对组织部门点击覆盖

    如果之后要恢复继承的值,请点击继承

问题排查

如果管理员设置未按预期应用,您可以在 Windows 设备上查看设备管理事件日志,以获取详细的诊断信息。

如需查看设备管理事件日志,请执行以下操作:

  1. 在目标设备上,打开事件查看器 。您可以在 Windows“开始”菜单中搜索“事件查看器”来找到它。
  2. 依次前往应用程序和服务日志 然后 Microsoft 然后 Windows 然后 DeviceManagement-Enterprise-Diagnostics-Provider 然后 管理员
  3. 查看与 CSP LocalUsersAndGroups 相关的事件。

日志示例:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

概览:增强的 Windows 桌面设备安全性功能


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。