ضبط امتيازات الحساب على أجهزة Windows 10 أو Windows 11

الإصدارات المتوافقة مع هذه الميزة: Frontline Starter وFrontline Standard وFrontline Plus وBusiness Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEndpoint Education Upgrade وEnterprise Essentials وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity.  مقارنة إصدارك

بصفتك مشرفًا، يمكنك تغيير إعداد مستوى امتيازات المشرف المحلي التي يمكن أن يمتلكها المستخدم على أجهزة Microsoft Windows 10 أو 11. مثلاً، يمكنك السماح بالتحكُّم المحدود أو الوصول الكامل. ويُمنح مستوى الإذن المميّز هذا لحساب Windows المرتبط بحساب مستخدم على Google، وليس لحساب Google للمستخدم.

يمكنك أيضًا منح امتيازات إدارية لحسابات Windows أخرى حالية. ويمكن أن تكون هذه الحسابات محلية لمستخدمي الجهاز أو Microsoft Active Directory، حتى إذا لم يسجلوا الدخول بعد إلى الجهاز.

قبل البدء

لمنح امتيازات إدارية محلية، يجب أن يكون الجهاز خاضعًا لإدارة أجهزة Windows.

ضبط امتيازات المشرف

قبل البدء: إذا كنت بحاجة إلى إعداد قسم أو فريق لهذا الإعداد، يمكنك الانتقال إلى إضافة وحدة تنظيمية.

يساعدك هذا الإعداد في إدارة إذن الوصول الإداري المحلي لمستخدمي برنامج "مزوّد بيانات الاعتماد في Google لنظام التشغيل Windows" ‏ (GCPW). يمكن أن يكون مستخدم GCPW مستخدمًا عاديًا أو مشرفًا محليًا.

لتطبيق إعدادات الأذونات المميّزة هذه، يستخدم النظام "مقدّم خدمة ضبط" (CSP) LocalUsersAndGroups من Microsoft أثناء حدث مزامنة الجهاز. عند تفعيل خيار إدارة إذن الوصول الإداري المحلي إلى الأجهزة في "وحدة تحكّم المشرف في Google"، تعالج "موفّر خدمة التكوين" عملية الإعداد لمنح امتيازات المشرف المحلي لمستخدمي GCPW ومستخدمي Active Directory الحاليين أو المجموعات أو مستخدمي Windows المحليين المُدرَجين في الحقل الحسابات التي لديها إذن وصول إداري محلي.

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأجهزة ثم الأجهزة الجوّالة ونقاط النهاية ثم الإعدادات ثم Windows

    يجب الحصول على امتياز مشرف الخدمات والأجهزة.

  2. انقر على إعدادات الحساب.
  3. (اختياري) لتطبيق الإعداد على قسم أو فريق، اختَر وحدة تنظيمية من جانب الصفحة.
  4. بالنسبة إلى القيمة، اختَر مفعَّل.

  5. ضبط امتيازات الحساب لمستخدمي GCPW:

    • لمنح المستخدمين حسابات عادية بدون امتيازات المشرف، اختَر مستخدم عادي في نوع حساب المستخدم.

    • لمنح المستخدمين امتيازات المشرف المحلي، اختَر مشرف محلي في نوع حساب المستخدم.

      قيود Windows: تتم إضافة مستخدمي GCPW إلى مجموعة المشرفين بعد تسجيل الدخول للمرة الأولى ومزامنة أجهزتهم. ومع ذلك، لن يسري إعداد امتيازات حساباتهم إلا بعد تسجيل الدخول التالي.

  6. (اختياري) لمنح امتيازات المشرف المحلي لمستخدمي Active Directory الحاليين أو مجموعات Active Directory أو حسابات المستخدمين المحلية على Windows، أضِفهم في حقل الحسابات التي لديها إذن وصول إداري محلي. استخدِم التنسيقات التالية، مع الفصل بين القيم المتعددة بفواصل:

    • مستخدمو Active Directory: YourDomain\user (مثلاً، YourDomain\sami)
    • مجموعات Active Directory: YourDomain\group (مثلاً، YourDomain\sami، YourDomain\مشرفوWin11)
    • المستخدمون المحليون: اسم_المستخدم (مثلاً، lrayes أو YourDomain\jsmith أو rnguyen أو YourDomain\Win11admins أو hcampbell أو bkwan)

    إذا أدخلت اسم حساب غير موجود، لن يتم إنشاء حساب جديد على الجهاز. ويتم تجاهل الحسابات غير المتوفّرة، وتتم معالجة الحسابات الصالحة المتبقية. لا تؤدي إزالة أسماء المستخدمين أو المجموعات من حقل الحسابات التي لديها إذن وصول إداري محلي إلى إزالتها من مجموعة "المشرف المحلي". ومع ذلك، لن تتم إضافة الأسماء التي تمت إزالتها أثناء عمليات المزامنة المستقبلية للأجهزة.

    ملاحظة مهمة: ننصح بعدم استخدام الحقل الحسابات التي لديها إذن وصول إداري محلي. يتوفّر هذا الحقل لأغراض تاريخية فقط، ومن غير المرجّح أن يكون مطلوبًا.

  7. انقر على حفظ. أو انقر على تجاوز بالنسبة إلى وحدة تنظيمية.

    لاستعادة القيمة المكتسَبة لاحقًا، انقر على اكتساب.

تحديد المشاكل وحلّها

إذا لم يتم تطبيق إعدادات المشرف على النحو المطلوب، يمكنك مراجعة سجلّات أحداث إدارة الأجهزة على جهاز Windows للحصول على معلومات تشخيصية مفصّلة.

لعرض سجلّات أحداث إدارة الأجهزة، اتّبِع الخطوات التالية:

  1. على الجهاز المستهدف، افتح عارض الأحداث. يمكنك العثور على "عارض الأحداث" من خلال البحث عنه في قائمة "ابدأ" في نظام التشغيل Windows.
  2. انتقِل إلى سجلات التطبيقات والخدمات ثم Microsoft ثم Windows ثم DeviceManagement-Enterprise-Diagnostics-Provider ثم المشرف.
  3. راجِع الأحداث ذات الصلة بـ CSP LocalUsersAndGroups.

أمثلة على السجلّات:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

نظرة عامة: خدمة أمان جهاز كمبيوتر سطح المكتب المُحسَّنة لنظام التشغيل Windows


إنّ Google وGoogle Workspace والعلامات والشعارات ذات الصلة هي علامات تجارية مسجَّلة مملوكة من قِبل شركة Google LLC. وجميع أسماء الشركات والمنتجات الأخرى هي علامات تجارية تملكها الشركات ذات الصلة بها.