تنظیم امتیازات حساب کاربری در دستگاه‌های ویندوز ۱۰ یا ۱۱

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Starter، Frontline Standard و Frontline Plus؛ Business Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard، Education Plus و Endpoint Education Upgrade؛ Enterprise Essentials و Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

به عنوان مدیر سیستم، می‌توانید تنظیمات مربوط به سطح دسترسی مدیریتی که یک کاربر می‌تواند در دستگاه‌های مایکروسافت ویندوز ۱۰ یا ۱۱ خود داشته باشد را برای محلی تغییر دهید. به عنوان مثال، می‌توانید کنترل محدود یا دسترسی کامل را مجاز کنید. این سطح دسترسی به حساب ویندوزی که با حساب گوگل کاربر مرتبط است، اعطا می‌شود، نه به حساب گوگل کاربر.

شما همچنین می‌توانید به سایر حساب‌های کاربری ویندوز موجود، امتیازات مدیریتی اعطا کنید. این حساب‌ها می‌توانند محلی در دستگاه یا کاربران و گروه‌های Microsoft Active Directory باشند، حتی اگر هنوز وارد دستگاه نشده باشند.

قبل از اینکه شروع کنی

برای اعطای امتیازات مدیریتی محلی، دستگاه باید تحت مدیریت دستگاه ویندوز باشد.

تنظیم امتیازات مدیریتی

قبل از شروع: اگر نیاز به ایجاد یک دپارتمان یا تیم برای این تنظیمات دارید، به بخش «افزودن یک واحد سازمانی» بروید.

این تنظیم به شما کمک می‌کند تا دسترسی مدیریتی محلی را برای کاربران ارائه‌دهنده اعتبارنامه گوگل برای ویندوز (GCPW) مدیریت کنید. یک کاربر GCPW می‌تواند یک کاربر استاندارد یا یک مدیر محلی باشد.

برای اعمال این تنظیمات امتیاز، سیستم در طول رویداد همگام‌سازی دستگاه، از ارائه‌دهنده خدمات پیکربندی Microsoft LocalUsersAndGroups (CSP) استفاده می‌کند. هنگامی که مدیریت دسترسی مدیریتی محلی به دستگاه‌ها در کنسول Google Admin فعال باشد، CSP پیکربندی را برای اعطای امتیازات مدیریتی محلی به کاربران GCPW و کاربران، گروه‌ها یا کاربران محلی ویندوز موجود در فیلد Accounts with local administrative access پردازش می‌کند.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس دستگاه‌هاو سپس موبایل و نقاط پایانیو سپس تنظیماتو سپس ویندوز

    نیاز به داشتن امتیاز مدیر سرویس‌ها و دستگاه‌ها دارد.

  2. روی تنظیمات حساب کلیک کنید.
  3. (اختیاری) برای اعمال تنظیمات به یک بخش یا تیم، در کنار آن، یک واحد سازمانی را انتخاب کنید.
  4. برای مقدار ، گزینه فعال (Enabled) را انتخاب کنید.

  5. امتیازات حساب را برای کاربران GCPW تنظیم کنید:

    • برای اختصاص حساب‌های استاندارد به کاربران بدون امتیازات مدیریتی، در قسمت نوع حساب کاربری ، گزینه Standard User را انتخاب کنید.

    • برای اختصاص دادن امتیازات مدیریتی محلی به کاربران، در قسمت نوع حساب کاربری ، گزینه Local Administrator را انتخاب کنید.

      محدودیت ویندوز: کاربران GCPW پس از اولین ورود به سیستم و همگام‌سازی دستگاهشان به گروه مدیران اضافه می‌شوند. با این حال، تنظیمات مربوط به امتیازات حساب آنها فقط پس از ورود بعدی آنها اعمال می‌شود.

  6. (اختیاری) برای دادن امتیازات مدیر محلی به کاربران موجود در اکتیو دایرکتوری، گروه‌های اکتیو دایرکتوری یا حساب‌های کاربری محلی ویندوز، آنها را در فیلد حساب‌های دارای دسترسی مدیریتی محلی اضافه کنید. از قالب‌های زیر استفاده کنید و چندین مقدار را با کاما از هم جدا کنید:

    • کاربران اکتیو دایرکتوری : YourDomain\user (برای مثال، YourDomain \jsmith)
    • گروه‌های اکتیو دایرکتوری : YourDomain\group (برای مثال، YourDomain \jsmith، YourDomain \Win11admins)
    • کاربران محلی : نام کاربری (برای مثال، lrayes، YourDomain \jsmith، rnguyen، YourDomain \Win11admins، hcampbell، bkwan)

    اگر نام حسابی را وارد کنید که وجود ندارد، حساب جدیدی در دستگاه ایجاد نمی‌شود. حساب‌های ناموجود نادیده گرفته می‌شوند و حساب‌های معتبر باقی‌مانده پردازش می‌شوند. حذف نام‌های کاربری یا گروهی از فیلد «حساب‌های دارای دسترسی مدیریتی محلی» آنها را از گروه «مدیر محلی» حذف نمی‌کند. با این حال، نام‌های حذف‌شده در همگام‌سازی‌های بعدی دستگاه اضافه نمی‌شوند.

    مهم: توصیه می‌کنیم از فیلد «حساب‌ها با دسترسی مدیریتی محلی» استفاده نکنید. این فیلد فقط برای اهداف تاریخی وجود دارد و بعید است که مورد نیاز باشد.

  7. روی ذخیره کلیک کنید. یا می‌توانید برای یک واحد سازمانی روی لغو کلیک کنید.

    برای بازیابی مقدار ارث‌بری شده در آینده، روی «به ارث بردن» کلیک کنید.

عیب‌یابی

اگر تنظیمات مدیریتی آنطور که شما در نظر داشتید اعمال نشده‌اند، می‌توانید گزارش‌های رویداد مدیریت دستگاه را در دستگاه ویندوزی برای اطلاعات تشخیصی دقیق بررسی کنید.

برای مشاهده گزارش‌های رویداد مدیریت دستگاه:

  1. در دستگاه هدف، Event Viewer را باز کنید. می‌توانید Event Viewer را با جستجوی آن در منوی استارت ویندوز پیدا کنید.
  2. به گزارش‌های برنامه‌ها و خدمات برویدو سپس مایکروسافتو سپس ویندوزو سپس ارائه دهنده خدمات عیب یابی سازمانی-مدیریت دستگاهو سپس مدیر .
  3. رویدادهایی را که مربوط به CSP LocalUsersAndGroups هستند، مرور کنید.

نمونه لاگ‌ها:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

مرور کلی: امنیت پیشرفته دسکتاپ برای ویندوز


گوگل، گوگل ورک‌اسپیس و علامت‌ها و لوگوهای مرتبط، علائم تجاری شرکت گوگل هستند. سایر نام‌های شرکت‌ها و محصولات، علائم تجاری شرکت‌هایی هستند که با آنها مرتبط هستند.