Impostare i privilegi dell'account sui dispositivi Windows 10 o Windows 11

Versioni supportate per questa funzionalità: Frontline Starter, Frontline Standard e Frontline Plus; Business Plus; Enterprise Standard ed Enterprise Plus; Education Standard, Education Plus ed Endpoint Education Upgrade; Enterprise Essentials ed Enterprise Essentials Plus; Cloud Identity Premium.  Confronta la tua versione

In qualità di amministratore, puoi modificare l'impostazione per il livello di privilegio amministrativo locale che un utente può avere sui suoi dispositivi Microsoft Windows 10 o 11. Ad esempio, puoi consentire un controllo limitato o l'accesso completo. Questo livello di privilegio viene concesso all'account Windows associato all'Account Google di un utente, non al suo Account Google.

Puoi anche concedere privilegi amministrativi ad altri account Windows esistenti. Questi ultimi possono essere account locali sul dispositivo oppure utenti e gruppi di Microsoft Active Directory, anche se non hanno ancora effettuato l'accesso al dispositivo.

Prima di iniziare

Per concedere privilegi amministrativi locali, al dispositivo deve essere applicata la gestione dei dispositivi Windows.

Impostare i privilegi amministrativi

Prima di iniziare:se devi configurare un reparto o un team per questa impostazione, vedi Aggiungere un'unità organizzativa.

Questa impostazione ti aiuta a gestire l'accesso amministrativo locale per gli utenti di Provider di credenziali Google per Windows (GCPW). Un utente GCPW può essere un utente standard o un amministratore locale.

Per applicare queste impostazioni dei privilegi, il sistema utilizza il provider del servizio di configurazione (CSP) LocalUsersAndGroups di Microsoft durante l'evento di sincronizzazione del dispositivo. Quando l'opzione Gestisci l'accesso amministrativo locale ai dispositivi è attivata nella Console di amministrazione Google, il CSP elabora la configurazione per concedere i privilegi di amministratore locale agli utenti GCPW e agli utenti, ai gruppi o agli utenti locali di Windows esistenti inclusi nel campo Account con accesso amministrativo locale.

  1. Nella Console di amministrazione Google, vai a Menu e poi Dispositivi e poi Dispositivi mobili ed endpoint e poi Impostazioni e poi Windows

    È necessario disporre del privilegio di amministratore Servizi e dispositivi.

  2. Fai clic su Impostazioni account.
  3. (Facoltativo) Per applicare l'impostazione a un reparto o a un team, seleziona un'unità organizzativa a lato.
  4. In Valore, seleziona Attivata.

  5. Imposta i privilegi dell'account per gli utenti di GCPW:

    • Per assegnare agli utenti account standard senza privilegi amministrativi, seleziona Utente standard per Tipo di account utente.

    • Per assegnare agli utenti i privilegi di amministratore locale, seleziona Amministratore locale per Tipo di account utente.

      Limitazione di Windows: gli utenti GCPW vengono aggiunti al gruppo di amministratori dopo aver eseguito l'accesso per la prima volta e la sincronizzazione del dispositivo. Tuttavia, l'impostazione dei privilegi dell'account ha effetto solo dopo il successivo accesso.

  6. (Facoltativo) Per concedere privilegi amministrativi locali a utenti, gruppi o account utente locali di Windows di Active Directory esistenti, aggiungili nel campo Account con accesso amministrativo locale. Utilizza i seguenti formati, separando più valori con virgole:

    • Utenti di Active Directory: TuoDominio\utente (ad esempio, TuoDominio\mrossi)
    • Gruppi di Active Directory: Dominio\gruppo (ad esempio, Dominio\mrossi, Dominio\AmministratoriWin11)
    • Utenti locali: nome utente (ad esempio, lrayes, YourDomain\jsmith, rnguyen, YourDomain\Win11admins, hcampbell, bkwan)

    Se fornisci un nome account inesistente, non viene creato un nuovo account sul dispositivo. Gli account inesistenti vengono ignorati e vengono elaborati gli account validi rimanenti. La rimozione dei nomi di utenti o gruppi dal campo Account con accesso amministrativo locale non li rimuove dal gruppo Amministratore locale. Tuttavia, i nomi rimossi non vengono aggiunti durante le sincronizzazioni future dei dispositivi.

    Importante:ti consigliamo di non utilizzare il campo Account con accesso amministrativo locale. Questo campo esiste solo per motivi storici e probabilmente non è necessario.

  7. Fai clic su Salva. In alternativa, puoi fare clic su Sostituisci per un'unità organizzativa.

    Per ripristinare in un secondo momento il valore ereditato, fai clic su Eredita.

Risoluzione dei problemi

Se le impostazioni amministrative non vengono applicate come previsto, puoi esaminare i log eventi di gestione dei dispositivi sul dispositivo Windows per informazioni diagnostiche dettagliate.

Per visualizzare i log degli eventi di gestione dei dispositivi:

  1. Sul dispositivo di destinazione, apri il Visualizzatore eventi. Puoi trovare il Visualizzatore eventi cercandolo nel menu Start di Windows.
  2. Vai a Log di applicazioni e servizi e poi Microsoft e poi Windows e poi DeviceManagement-Enterprise-Diagnostics-Provider e poi Admin.
  3. Esamina gli eventi correlati al CSP LocalUsersAndGroups.

Log di esempio:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Panoramica: sicurezza desktop avanzata per Windows


Google, Google Workspace e i marchi e i loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.