ตั้งค่าสิทธิ์ของบัญชีในอุปกรณ์ Windows 10 หรือ 11

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Starter, Frontline Standard และ Frontline Plus, Business Plus, Enterprise Standard และ Enterprise Plus, Education Standard, Education Plus และ Endpoint Education Upgrade, Enterprise Essentials และ Enterprise Essentials Plus, Cloud Identity Premium  เปรียบเทียบรุ่นของคุณ

ในฐานะผู้ดูแลระบบ คุณสามารถเปลี่ยนการตั้งค่าระดับสิทธิ์ของผู้ดูแลระบบภายในที่ผู้ใช้มีในอุปกรณ์ Microsoft Windows 10 หรือ 11 ได้ เช่น อนุญาตการควบคุมแบบจำกัดหรือสิทธิ์เข้าถึงอย่างเต็มรูปแบบ ระดับสิทธิ์นี้จะให้สิทธิ์กับบัญชี Windows ที่เชื่อมโยงกับบัญชี Google ของผู้ใช้ ไม่ใช่บัญชี Google ของผู้ใช้

นอกจากนี้คุณยังให้สิทธิ์ของผู้ดูแลระบบกับบัญชี Windows อื่นๆ ที่มีอยู่ได้ด้วย โดยบัญชีเหล่านี้อาจอยู่ในอุปกรณ์หรือเป็นของผู้ใช้และกลุ่มใน Microsoft Active Directory แม้ว่าจะยังไม่ได้ลงชื่อเข้าใช้อุปกรณ์ก็ตาม

ข้อควรทราบก่อนที่จะเริ่มต้น

หากต้องการให้สิทธิ์ของผู้ดูแลระบบภายใน อุปกรณ์ต้องอยู่ภายใต้การจัดการอุปกรณ์ของ Windows

กำหนดสิทธิ์ของผู้ดูแลระบบ

ข้อควรทราบก่อนที่จะเริ่มต้น: หากต้องการกำหนดแผนกหรือทีมสำหรับการตั้งค่านี้ โปรดดูหัวข้อเพิ่มหน่วยขององค์กร

การตั้งค่านี้ช่วยให้คุณจัดการสิทธิ์การเข้าถึงระดับผู้ดูแลระบบภายในสำหรับผู้ใช้โปรแกรมการเข้าสู่ระบบโดยใช้บัญชี Google สำหรับ Windows (GCPW) ผู้ใช้ GCPW อาจเป็นผู้ใช้ทั่วไปหรือผู้ดูแลระบบภายใน

หากต้องการใช้การตั้งค่าสิทธิ์เหล่านี้ ระบบจะใช้ผู้ให้บริการกำหนดค่า (CSP) LocalUsersAndGroups ของ Microsoft ระหว่างเหตุการณ์การซิงค์อุปกรณ์ เมื่อเปิดจัดการสิทธิ์การเข้าถึงระดับผู้ดูแลระบบภายในสำหรับอุปกรณ์ ในคอนโซลผู้ดูแลระบบของ Google CSP จะประมวลผลการกำหนดค่าเพื่อมอบสิทธิ์ของผู้ดูแลระบบภายในให้กับผู้ใช้ GCPW รวมถึงผู้ใช้ กลุ่ม หรือผู้ใช้ Windows ภายในที่มีอยู่ในช่องบัญชีที่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบภายใน

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น อุปกรณ์ จากนั้น อุปกรณ์เคลื่อนที่และปลายทาง จากนั้น การตั้งค่า จากนั้น Windows

    คุณต้องมีสิทธิ์ของผู้ดูแลระบบในการจัดการบริการและอุปกรณ์

  2. คลิกการตั้งค่าบัญชี
  3. (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กร ที่ด้านข้าง
  4. ในส่วนค่า ให้เลือกเปิดใช้

  5. กำหนดสิทธิ์ของบัญชีสำหรับผู้ใช้ GCPW ดังนี้

    • หากต้องการกำหนดบัญชีทั่วไปที่ไม่มีสิทธิ์ของผู้ดูแลระบบให้กับผู้ใช้ ให้เลือกผู้ใช้ทั่วไป ในส่วน ประเภทบัญชีผู้ใช้

    • หากต้องการกำหนดสิทธิ์ของผู้ดูแลระบบภายในให้กับผู้ใช้ ให้เลือกผู้ดูแลระบบภายใน ในส่วนประเภทบัญชี ผู้ใช้

      ข้อจำกัดของ Windows: ระบบจะเพิ่มผู้ใช้ GCPW ลงในกลุ่มผู้ดูแลระบบหลังจากที่ผู้ใช้ลงชื่อเข้าใช้เป็นครั้งแรกและอุปกรณ์ซิงค์ อย่างไรก็ตาม การตั้งค่าสิทธิ์ของบัญชีจะมีผลหลังจากที่ผู้ใช้ลงชื่อเข้าใช้ครั้งถัดไป

  6. (ไม่บังคับ) หากต้องการให้สิทธิ์ของผู้ดูแลระบบภายในแก่ผู้ใช้ Active Directory, กลุ่ม Active Directory หรือบัญชีผู้ใช้ Windows ภายในที่มีอยู่ ให้เพิ่มบัญชีเหล่านั้นในช่องบัญชีที่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบภายใน ใช้รูปแบบต่อไปนี้ โดยคั่นหลายค่าด้วยคอมมา

    • ผู้ใช้ Active Directory: YourDomain\user (เช่น YourDomain\jsmith)
    • กลุ่ม Active Directory: YourDomain\group (เช่น YourDomain\jsmith, YourDomain\Win11admins)
    • ผู้ใช้ภายใน: username (เช่น lrayes, YourDomain\jsmith, rnguyen, YourDomain\Win11admins, hcampbell, bkwan)

    หากคุณระบุชื่อบัญชีที่ไม่มีอยู่ ระบบจะไม่สร้างบัญชีใหม่ในอุปกรณ์ ระบบจะละเว้นบัญชีที่ไม่มีอยู่และประมวลผลบัญชีที่เหลือซึ่งถูกต้อง การนำชื่อผู้ใช้หรือชื่อกลุ่มออกจากช่องบัญชีที่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบภายใน จะไม่นำชื่อเหล่านั้นออกจากกลุ่มผู้ดูแลระบบภายใน อย่างไรก็ตาม ระบบจะไม่เพิ่มชื่อที่นำออกระหว่างการซิงค์อุปกรณ์ในอนาคต

    สำคัญ: เราไม่แนะนำให้ใช้ช่องบัญชีที่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบภายใน ช่องนี้มีไว้เพื่อวัตถุประสงค์ทางประวัติเท่านั้นและไม่น่าจะต้องใช้

  7. คลิกบันทึก หรือคลิกลบล้าง สำหรับหน่วยขององค์กร

    หากในภายหลังต้องการกู้คืนค่าที่รับช่วงมา ให้คลิกรับค่า

การแก้ปัญหา

หากระบบไม่ได้ใช้การตั้งค่าของผู้ดูแลระบบตามที่คุณต้องการ คุณสามารถตรวจสอบบันทึกเหตุการณ์การจัดการอุปกรณ์ในอุปกรณ์ Windows เพื่อดูข้อมูลการวินิจฉัยโดยละเอียด

วิธีดูบันทึกเหตุการณ์การจัดการอุปกรณ์

  1. เปิด Event Viewer ในอุปกรณ์เป้าหมาย คุณสามารถค้นหา Event Viewer ได้โดยค้นหาในเมนู "เริ่ม" ของ Windows
  2. ไปที่ Applications and Services Logs จากนั้น Microsoft จากนั้น Windows จากนั้น DeviceManagement-Enterprise-Diagnostics-Provider จากนั้น Admin
  3. ตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับ CSP LocalUsersAndGroups

ตัวอย่างบันทึก

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

ภาพรวม: การรักษาความปลอดภัยเดสก์ท็อปขั้นสูงสำหรับ Windows


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของบริษัทที่เกี่ยวข้อง