Cómo establecer privilegios de cuenta en dispositivos con Windows 10 u 11

Ediciones compatibles con esta función: Frontline Starter, Frontline Standard y Frontline Plus; Business Plus; Enterprise Standard y Enterprise Plus; Education Standard, Education Plus y Endpoint Education Upgrade; Enterprise Essentials y Enterprise Essentials Plus; Cloud Identity Premium.  Comparar tu edición

Como administrador, puedes cambiar el parámetro de configuración del nivel de privilegios administrativos locales que un usuario puede tener en sus dispositivos Microsoft Windows 10 o 11. Por ejemplo, puedes permitir un control limitado o acceso completo. Este nivel de privilegios se otorga a la cuenta de Windows asociada a la Cuenta de Google de un usuario, no a la Cuenta de Google del usuario.

También puedes otorgar privilegios administrativos a otras cuentas de Windows existentes. Estas cuentas pueden ser locales para el dispositivo o usuarios y grupos de Microsoft Active Directory, incluso si aún no accedieron al dispositivo.

Antes de comenzar

Para otorgar privilegios administrativos locales, el dispositivo debe estar en la administración de dispositivos de Windows.

Establece privilegios administrativos

Antes de comenzar: Si necesitas establecer un departamento o equipo para este parámetro de configuración, consulta Cómo agregar una unidad organizativa.

Este parámetro de configuración te ayuda a administrar el acceso administrativo local para los usuarios del Proveedor de credenciales de Google para Windows (GCPW). Un usuario de GCPW puede ser un usuario estándar o un administrador local.

Para aplicar esta configuración de privilegios, el sistema usa el proveedor de servicios de configuración (CSP) LocalUsersAndGroups de Microsoft durante el evento de sincronización del dispositivo. Cuando la opción Administrar el acceso de administrador local a los dispositivos está activada en la Consola del administrador de Google, el CSP procesa la configuración para otorgar privilegios de administrador local a los usuarios de GCPW y a los usuarios, grupos o usuarios locales de Active Directory existentes incluidos en el campo Cuentas con acceso administrativo local.

  1. En la Consola del administrador de Google, ve a Menú y luego Dispositivos y luego Dispositivos móviles y extremos y luego Configuración y luego Windows

    Es necesario tener el privilegio de administrador de los Servicios y dispositivos.

  2. Haz clic en Configuración de la cuenta.
  3. (Opcional) Para aplicar el parámetro de configuración a un departamento o equipo, en el costado, selecciona una unidad organizativa.
  4. En Value, selecciona Enabled.

  5. Establece los privilegios de la cuenta para los usuarios de GCPW:

    • Para asignar a los usuarios cuentas estándar sin privilegios de administrador, en User account type, selecciona Standard User.

    • Para asignar a los usuarios privilegios administrativos locales, en User account type, selecciona Local Administrator.

      Limitación de Windows: Los usuarios de GCPW se agregan al grupo de administradores después de que acceden por primera vez y se sincroniza su dispositivo. Sin embargo, el parámetro de configuración de los privilegios de su cuenta solo surte efecto después del próximo acceso.

  6. (Opcional) Para otorgar privilegios de administrador local a los usuarios, grupos o cuentas de usuario locales de Active Directory existentes, agrégalos en el campo Cuentas con acceso administrativo local. Usa los siguientes formatos y separa varios valores con comas:

    • Usuarios de Active Directory: TuDominio\usuario (por ejemplo, TuDominio\jsmith)
    • Grupos de Active Directory: TuDominio\grupo (por ejemplo, TuDominio\jsmith, TuDominio\Win11admins)
    • Usuarios locales: nombredeusuario (por ejemplo, lrayes, TuDominio\jsmith, rnguyen, TuDominio\Win11admins, hcampbell, bkwan)

    Si proporcionas un nombre de cuenta que no existe, no se creará una cuenta nueva en el dispositivo. Se ignoran las cuentas inexistentes y se procesan las cuentas válidas restantes. Quitar nombres de usuarios o grupos del campo Cuentas con acceso administrativo local no los quita del grupo de administradores locales. Sin embargo, los nombres quitados no se agregan durante las sincronizaciones futuras del dispositivo.

    Importante: Te recomendamos que no uses el campo Cuentas con acceso administrativo local. Este campo solo existe con fines históricos y es poco probable que lo necesites.

  7. Haz clic en Guardar. También puedes hacer clic en Anular para una unidad organizativa.

    Para restablecer después el valor heredado, haz clic en Heredar.

Solución de problemas

Si la configuración administrativa no se aplica como esperabas, puedes revisar los registros de eventos de administración de dispositivos en el dispositivo Windows para obtener información de diagnóstico detallada.

Para ver los registros de eventos de administración de dispositivos, haz lo siguiente:

  1. En el dispositivo de destino, abre el Visor de eventos. Para encontrarlo, búscalo en el menú Inicio de Windows.
  2. Ve a Registros de aplicaciones y servicios y luego Microsoft y luego Windows y luego DeviceManagement-Enterprise-Diagnostics-Provider y luego Admin.
  3. Revisa los eventos relacionados con el CSP LocalUsersAndGroups.

Ejemplos de registros:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Descripción general del servicio de seguridad mejorada para computadoras de escritorio con Windows


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de empresas y productos son marcas comerciales de las empresas con las que están asociados.