En tant qu'administrateur, vous pouvez modifier le paramètre du niveau de privilège administratif local qu'un utilisateur peut avoir sur ses appareils Microsoft Windows 10 ou 11. Vous pouvez par exemple lui accorder un contrôle limité ou un accès complet. Ce niveau de privilège est accordé au compte Windows associé au compte Google d'un utilisateur, et non au compte Google de cet utilisateur.
Vous pouvez également accorder des droits d'administrateur à d'autres comptes Windows existants. Ces comptes peuvent être liés à un appareil localement, ou être des utilisateurs et groupes Microsoft Active Directory, même s'ils ne sont pas encore connectés à l'appareil.
Avant de commencer
Pour que vous puissiez accorder des droits d'administrateur local, l'appareil doit être géré par le service de gestion des appareils Windows.
Définir les droits d'administrateur
Avant de commencer : Si vous devez configurer un service ou une équipe pour ce paramètre, consultez Ajouter une unité organisationnelle.
Ce paramètre vous aide à gérer l'accès administratif local pour les utilisateurs du fournisseur d'informations d'identification Google pour Windows (GCPW). Un utilisateur GCPW peut être un utilisateur standard ou un administrateur local.
Pour appliquer ces paramètres de privilèges, le système utilise le fournisseur de services de configuration (CSP) Microsoft LocalUsersAndGroups lors de l'événement de synchronisation de l'appareil. Lorsque l'option Gérer l'accès administrateur local aux appareils est activée dans la console d'administration Google, le CSP traite la configuration pour accorder des droits d'administrateur local aux utilisateurs GCPW et aux utilisateurs, groupes ou utilisateurs Windows locaux Active Directory existants inclus dans le champ Comptes disposant d'un accès administrateur local.
-
Dans la console d'administration Google, accédez à Menu
Appareils Mobiles et points de terminaison Paramètres Windows. Vous devez disposer du droit d'administrateur Services et appareils.
- Cliquez sur Paramètres du compte.
- Facultatif : Pour appliquer le paramètre à un service interne ou à une équipe, sélectionnez une unité organisationnelle sur le côté.
- Pour Valeur, sélectionnez Activé.
Définissez les droits d'accès pour les utilisateurs GCPW :
- Pour attribuer aux utilisateurs des comptes standards sans droits d'administrateur, sélectionnez Utilisateur standard pour Type de compte utilisateur.
Pour attribuer des droits d'administrateur locaux aux utilisateurs, sélectionnez Administrateur local pour Type de compte utilisateur.
Limitation Windows : les utilisateurs GCPW sont ajoutés au groupe des administrateurs après leur première connexion et la synchronisation de leur appareil. Toutefois, le paramètre des droits d'accès à leur compte ne prend effet qu'à leur prochaine connexion.
(Facultatif) Pour accorder des droits d'administrateur local aux utilisateurs Active Directory, aux groupes Active Directory ou aux comptes utilisateur Windows locaux existants, ajoutez-les dans le champ Comptes disposant d'un accès administrateur local. Utilisez les formats suivants, en séparant les valeurs multiples par des virgules :
- Utilisateurs Active Directory : VotreDomaine\utilisateur (par exemple, VotreDomaine\jdupont)
- Groupes Active Directory : VotreDomaine\groupe (par exemple, VotreDomaine\jdupont, VotreDomaine\Win11admins)
- Utilisateurs locaux : nom d'utilisateur (par exemple, lrayes, VotreDomaine\jdupont, rnguyen, VotreDomaine\Win11admins, hcampbell, bkwan)
Si vous indiquez un nom de compte qui n'existe pas, aucun nouveau compte n'est créé sur l'appareil. Les comptes inexistants sont ignorés, et les comptes valides restants sont traités. Si vous supprimez des noms d'utilisateur ou de groupe du champ Comptes ayant un accès administrateur local, ils ne seront pas supprimés du groupe Administrateur local. Toutefois, les noms supprimés ne sont pas ajoutés lors des futures synchronisations de l'appareil.
Important : Nous vous recommandons de ne pas utiliser le champ Comptes disposant d'un accès administrateur local. Ce champ n'existe qu'à des fins historiques et ne devrait pas être nécessaire.
-
Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour une unité organisationnelle.
Pour restaurer ultérieurement la valeur héritée, cliquez sur Hériter.
Dépannage
Si les paramètres administratifs ne sont pas appliqués comme prévu, vous pouvez consulter les journaux d'événements de gestion des appareils sur l'appareil Windows pour obtenir des informations de diagnostic détaillées.
Pour afficher les journaux d'événements de gestion des appareils :
- Sur l'appareil cible, ouvrez la Visionneuse d'événements. Pour trouver l'Observateur d'événements, recherchez-le dans le menu Démarrer de Windows.
- Accédez à Journaux des applications et des services Microsoft
Windows
DeviceManagement-Enterprise-Diagnostics-Provider
Administration.
- Examinez les événements liés au CSP LocalUsersAndGroups.
Exemples de journaux :
MDM PolicyManager: Set policy string, Policy: (Configure), Area:
(LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current
User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target
Group>"<group action="U" /><add
member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment
Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names
and security IDs was done.
Article associé
Présentation : Sécurité renforcée des ordinateurs de bureau pour Windows
Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.