ตั้งค่าสิทธิ์ของบัญชีในอุปกรณ์ Windows 10 หรือ 11

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Starter, Frontline Standard และ Frontline Plus, Business Plus, Enterprise Standard และ Enterprise Plus, Education Standard, Education Plus และ Endpoint Education Upgrade, Enterprise Essentials และ Enterprise Essentials Plus, Cloud Identity Premium  เปรียบเทียบรุ่นของคุณ

ในฐานะผู้ดูแลระบบ คุณสามารถเปลี่ยนการตั้งค่าสำหรับระดับสิทธิ์ดูแลระบบในเครื่องที่ผู้ใช้มีในอุปกรณ์ Microsoft Windows 10 หรือ 11 ได้ เช่น อนุญาตการควบคุมแบบจำกัดหรือสิทธิ์เข้าถึงอย่างเต็มรูปแบบ ระดับสิทธิ์นี้จะให้สิทธิ์กับบัญชี Windows ที่เชื่อมโยงกับบัญชี Google ของผู้ใช้ ไม่ใช่บัญชี Google ของผู้ใช้

นอกจากนี้ คุณยังมอบสิทธิ์ของผู้ดูแลระบบให้กับบัญชี Windows อื่นๆ ที่มีอยู่ได้ด้วย โดยบัญชีเหล่านี้อาจอยู่ในอุปกรณ์หรือเป็นของผู้ใช้และกลุ่มใน Microsoft Active Directory แม้ว่าจะยังไม่ได้ลงชื่อเข้าใช้อุปกรณ์ก็ตาม

ข้อควรทราบก่อนที่จะเริ่มต้น

หากต้องการให้สิทธิ์ระดับผู้ดูแลระบบภายใน อุปกรณ์ต้องอยู่ภายใต้การจัดการอุปกรณ์ Windows

ตั้งค่าสิทธิ์ของผู้ดูแลระบบ

ข้อควรทราบก่อนที่จะเริ่มต้น: หากต้องการกำหนดแผนกหรือทีมสำหรับการตั้งค่านี้ โปรดดูหัวข้อเพิ่มหน่วยขององค์กร

การตั้งค่านี้ช่วยให้คุณจัดการสิทธิ์เข้าถึงระดับผู้ดูแลระบบในเครื่องสำหรับผู้ใช้โปรแกรมการเข้าสู่ระบบโดยใช้บัญชี Google สำหรับ Windows (GCPW) ได้ ผู้ใช้ GCPW อาจเป็นผู้ใช้มาตรฐาน หรือผู้ดูแลระบบภายใน

หากต้องการใช้การตั้งค่าสิทธิ์เหล่านี้ ระบบจะใช้ผู้ให้บริการกำหนดค่า (CSP) ของ Microsoft LocalUsersAndGroups ในระหว่างเหตุการณ์การซิงค์อุปกรณ์ เมื่อเปิดจัดการสิทธิ์การเข้าถึงระดับผู้ดูแลระบบในเครื่องสำหรับอุปกรณ์ในคอนโซลผู้ดูแลระบบของ Google แล้ว CSP จะประมวลผลการกำหนดค่าเพื่อมอบสิทธิ์ระดับผู้ดูแลระบบในเครื่องให้กับผู้ใช้ GCPW และผู้ใช้ Active Directory, กลุ่ม หรือผู้ใช้ Windows ในเครื่องที่มีอยู่ซึ่งรวมอยู่ในช่องบัญชีที่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบในเครื่อง

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น อุปกรณ์ จากนั้น มือถือและอุปกรณ์ปลายทาง จากนั้น การตั้งค่า จากนั้น Windows 

    คุณต้องมีสิทธิ์ผู้ดูแลระบบในการจัดการบริการและอุปกรณ์

  2. คลิกการตั้งค่าบัญชี
  3. (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กรที่ด้านข้าง
  4. เลือกเปิดใช้ในส่วนค่า

  5. กำหนดสิทธิ์ของบัญชีสำหรับผู้ใช้ GCPW โดยทำดังนี้

    • หากต้องการมอบหมายบัญชีทั่วไปที่ไม่มีสิทธิ์ของผู้ดูแลระบบให้กับผู้ใช้ ให้เลือกผู้ใช้ทั่วไปสำหรับประเภทบัญชีผู้ใช้

    • หากต้องการมอบหมายสิทธิ์ของผู้ดูแลระบบภายในให้กับผู้ใช้ ให้เลือกผู้ดูแลระบบภายในสำหรับประเภท บัญชีผู้ใช้

      ข้อจำกัดของ Windows: ระบบจะเพิ่มผู้ใช้ GCPW ลงในกลุ่มผู้ดูแลระบบ หลังจากที่ผู้ใช้ลงชื่อเข้าใช้เป็นครั้งแรกและอุปกรณ์ซิงค์ อย่างไรก็ตาม การตั้งค่าสิทธิ์ในบัญชีจะมีผลหลังจากที่ผู้ใช้ ลงชื่อเข้าใช้ครั้งถัดไป

  6. (ไม่บังคับ) หากต้องการให้สิทธิ์ระดับผู้ดูแลระบบภายในแก่ผู้ใช้ Active Directory กลุ่ม Active Directory หรือบัญชีผู้ใช้ Windows ในเครื่องที่มีอยู่ ให้เพิ่มผู้ใช้เหล่านั้นใน ช่องบัญชีที่มีสิทธิ์เข้าถึงระดับผู้ดูแลระบบภายใน ใช้รูปแบบต่อไปนี้ โดยคั่นค่าหลายค่าด้วยคอมมา

    • ผู้ใช้ Active Directory: YourDomain\user (เช่น YourDomain\jsmith)
    • กลุ่ม Active Directory: YourDomain\group (เช่น YourDomain\jsmith, YourDomain\Win11admins)
    • ผู้ใช้ภายใน: username (เช่น lrayes, YourDomain\jsmith, rnguyen, YourDomain\Win11admins, hcampbell, bkwan)

    หากคุณระบุชื่อบัญชีที่ไม่มีอยู่ ระบบจะไม่สร้างบัญชีใหม่ในอุปกรณ์ ระบบจะไม่สนใจบัญชีที่ไม่มีอยู่จริง และจะประมวลผลบัญชีที่ถูกต้องที่เหลือ การนำชื่อผู้ใช้หรือกลุ่มออกจากช่องบัญชีที่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบในเครื่องไม่ได้ นำชื่อเหล่านั้นออกจากกลุ่มผู้ดูแลระบบในเครื่อง อย่างไรก็ตาม ระบบจะไม่เพิ่มชื่อที่นำออก ระหว่างการซิงค์อุปกรณ์ในอนาคต

    สำคัญ: เราขอแนะนำไม่ให้ใช้ช่องบัญชีที่มีสิทธิ์เข้าถึงระดับผู้ดูแลระบบในเครื่อง ฟิลด์นี้มีไว้เพื่อวัตถุประสงค์ในอดีตเท่านั้น และไม่น่าจะต้องใช้

  7. คลิกบันทึก หรืออาจคลิกลบล้างสำหรับหน่วยขององค์กร

    หากในภายหลังต้องการกู้คืนค่าที่รับช่วงมา ให้คลิกรับค่า

การแก้ปัญหา

หากการตั้งค่าการดูแลระบบไม่ได้รับการปรับใช้ตามที่คุณต้องการ คุณสามารถตรวจสอบบันทึกเหตุการณ์การจัดการอุปกรณ์ในอุปกรณ์ Windows เพื่อดูข้อมูลการวินิจฉัยโดยละเอียดได้

วิธีดูบันทึกเหตุการณ์การจัดการอุปกรณ์

  1. เปิดตัวแสดงเหตุการณ์ในอุปกรณ์เป้าหมาย คุณสามารถค้นหา Event Viewer ได้โดยค้นหาในเมนูเริ่มของ Windows
  2. ไปที่Applications and Services Logs จากนั้น Microsoft จากนั้น Windows จากนั้น DeviceManagement-Enterprise-Diagnostics-Provider จากนั้น Admin
  3. ตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับ CSP LocalUsersAndGroups

ตัวอย่างบันทึก

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

ภาพรวม: การรักษาความปลอดภัยเดสก์ท็อปขั้นสูงสำหรับ Windows


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของบริษัทที่เกี่ยวข้อง