הגדרת הרשאות לחשבון במכשירי Windows 10 או Windows 11

התכונה הזו נתמכת במהדורות הבאות: Frontline Starter,‏ Frontline Standard ו-Frontline Plus,‏ Business Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard,‏ Education Plus ו-Endpoint Education Upgrade,‏ Enterprise Essentials ו-Enterprise Essentials Plus,‏ Cloud Identity Premium.  השוואה בין מהדורות

אדמינים יכולים לשנות את ההגדרה של רמת ההרשאות האדמיניסטרטיביות המקומיות שמשתמש יכול לקבל במכשירי Microsoft Windows 10 או 11. לדוגמה, אפשר לאפשר שליטה מוגבלת או גישה מלאה. רמת ההרשאה הזו ניתנת לחשבון Windows שמשויך לחשבון Google של משתמש, ולא לחשבון Google של משתמש.

אפשר גם להעניק הרשאות אדמין לחשבונות קיימים אחרים ב-Windows. החשבונות האלה יכולים להיות מקומיים במכשיר או משתמשים וקבוצות של Microsoft Active Directory, גם אם הם עדיין לא נכנסו למכשיר.

לפני שמתחילים

כדי לתת הרשאות אדמין מקומיות, המכשיר צריך להיות בניהול מכשירי Windows.

הגדרת הרשאות אדמין

לפני שמתחילים: אם צריכים להגדיר מחלקה או צוות בשביל ההגדרה הזו, עוברים אל הוספת יחידה ארגונית.

ההגדרה הזו עוזרת לכם לנהל את גישת האדמין המקומית למשתמשים ב-Google Credential Provider for Windows ‏ (GCPW). משתמש GCPW יכול להיות משתמש רגיל או אדמין מקומי.

כדי להחיל את הגדרות ההרשאות האלה, המערכת משתמשת בספק שירותי התצורה (CSP) LocalUsersAndGroups של מיקרוסופט במהלך אירוע סנכרון המכשיר. כשההגדרה ניהול גישת אדמין מקומית למכשירים מופעלת במסוף Google Admin, ספק שירותי התצורה (CSP) מעבד את ההגדרה כדי להעניק הרשאות אדמין מקומיות למשתמשי GCPW ולמשתמשי Active Directory, לקבוצות או למשתמשי Windows מקומיים שקיימים ושנכללים בשדה חשבונות עם גישת אדמין מקומית.

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and then ניידים ונקודות קצה and then הגדרות ואז Windows

    כדי לעשות את זה צריך הרשאת אדמין לשירותים ומכשירים.

  2. לוחצים על הגדרות חשבון.
  3. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
  4. בשדה ערך, בוחרים באפשרות מופעל.

  5. הגדרת הרשאות החשבון למשתמשי GCPW:

    • כדי להקצות למשתמשים חשבונות רגילים ללא הרשאות אדמין, בוחרים באפשרות משתמש רגיל בסוג חשבון משתמש.

    • כדי להקצות למשתמשים הרשאות אדמין מקומיות, בוחרים באפשרות אדמין מקומי בקטע סוג חשבון משתמש.

      מגבלה ב-Windows: משתמשי GCPW מתווספים לקבוצת האדמינים אחרי שהם נכנסים לחשבון בפעם הראשונה והמכשיר שלהם מסתנכרן. עם זאת, ההגדרה של הרשאות החשבון שלהם תיכנס לתוקף רק אחרי הכניסה הבאה שלהם.

  6. (אופציונלי) כדי לתת הרשאות אדמין מקומיות למשתמשים קיימים ב-Active Directory, לקבוצות ב-Active Directory או לחשבונות משתמשים מקומיים ב-Windows, מוסיפים אותם בשדה Accounts with local administrative access. משתמשים בפורמטים הבאים, ומפרידים בין כמה ערכים באמצעות פסיקים:

    • משתמשי Active Directory: YourDomain\user (לדוגמה, YourDomain\jsmith)
    • קבוצות ב-Active Directory: YourDomain\group (לדוגמה, YourDomain\jsmith, ‏ YourDomain\Win11admins)
    • משתמשים מקומיים: שם משתמש (לדוגמה, lrayes, ‏ YourDomain\jsmith, rnguyen, ‏ YourDomain\Win11admins, ‏ hcampbell, ‏ bkwan)

    אם תספקו שם חשבון שלא קיים, לא יווצר חשבון חדש במכשיר. המערכת מתעלמת מחשבונות שלא קיימים, ומעבדת את החשבונות התקינים שנותרו. הסרת שמות של משתמשים או קבוצות מהשדה Accounts with local administrative access לא מסירה אותם מהקבוצה Local Administrator. עם זאת, השמות שהוסרו לא יתווספו במהלך סנכרון מכשירים עתידי.

    חשוב: אנחנו ממליצים לא להשתמש בשדה Accounts with local administrative access (חשבונות עם גישת אדמין מקומית). השדה הזה קיים רק למטרות היסטוריות, ולא סביר שתצטרכו אותו.

  7. לוחצים על שמירה. לחלופין, אתם יכולים ללחוץ על שינוי עבור יחידה ארגונית.

    אם מאוחר יותר רוצים לשחזר את הערך שעבר בירושה, לוחצים על ירושה.

פתרון בעיות

אם הגדרות הניהול לא מוחלות כמו שרציתם, תוכלו לבדוק את יומני האירועים של ניהול המכשיר במכשיר Windows כדי לקבל מידע מפורט לצורך אבחון.

כדי לראות את יומני האירועים של ניהול המכשירים:

  1. במכשיר היעד, פותחים את Event Viewer. אפשר למצוא את הכלי Event Viewer בחיפוש בתפריט ההתחלה של Windows.
  2. עוברים אל Applications and Services Logs (יומני אפליקציות ושירותים) ואז Microsoft and then Windows and then DeviceManagement-Enterprise-Diagnostics-Provider (ספק אבחון לניהול מכשירים – ארגוני) ואז Admin (אדמין).
  3. בודקים את האירועים שקשורים ל-CSP LocalUsersAndGroups.

יומנים לדוגמה:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

סקירה כללית: אבטחת מחשב משופרת ל-Windows


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.