在 Windows 10 或 11 设备上设置账号权限

支持此功能的版本:一线员工入门版、一线员工标准版和一线员工 Plus 版;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和端点教育升级版;企业基本功能版和企业基本功能 Plus 版;Cloud Identity 专业版。  比较您的版本

作为管理员,您可以更改用户在其 Microsoft Windows 10 或 11 设备上可以拥有的本地管理员权限级别的设置。例如,您可以提供受限的控制权限或完整访问权限。此权限级别会授予与用户的 Google 账号相关联的 Windows 账号,而不会授予用户的 Google 账号。

您还可以向其他现有 Windows 账号授予管理员权限。这些账号可以是设备的本地账号或 Microsoft Active Directory 用户和组的账号(无论他们是否登录了设备)。

准备工作

如要授予本地管理员权限,设备必须启用 Windows 设备管理服务。

设置管理员权限

准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门

此设置可帮助您管理 Windows 版 Google 凭据提供程序 (GCPW) 用户的本地管理员访问权限。GCPW 用户可以是标准用户,也可以是本地管理员。

为了应用这些权限设置,系统会在设备同步事件期间使用 Microsoft LocalUsersAndGroups 配置服务提供商 (CSP)。在 Google 管理控制台中启用管理对设备的本地管理员访问权限后,CSP 会处理配置,以向 GCPW 用户以及具有本地管理员访问权限的账号字段中包含的现有 Active Directory 用户、群组或本地 Windows 用户授予本地管理员权限。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 设备 然后 移动设备和端点 然后 设置 然后 Windows

    需要拥有服务和设备管理员权限。

  2. 点击账号设置
  3. (可选)如要将设置应用于某个部门或团队,请在侧边选择一个组织部门
  4. 对于,选择已启用

  5. 为 GCPW 用户设置账号权限:

    • 如需为用户分配无管理员权限的标准账号,请在用户账号类型中选择标准用户

    • 如需为用户分配本地管理员权限,请在用户账号类型中选择本地管理员

      Windows 限制:GCPW 用户在首次登录并同步设备后,会被添加到管理员群组。不过,其账号权限设置只有在下次登录后才会生效。

  6. (可选)如需向现有 Active Directory 用户、Active Directory 群组或本地 Windows 用户账号授予本地管理员权限,请在具有本地管理员访问权限的账号字段中添加相应账号。请使用以下格式,并用英文逗号分隔多个值:

    • Active Directory 用户:<您的域名>\<用户>(例如,YourDomain\jsmith)
    • Active Directory 群组:<您的域名>\<群组>(例如,YourDomain\jsmith、YourDomain\Win11admins)
    • 本地用户:<用户名>(例如,lrayes、YourDomain\jsmith、rnguyen、YourDomain\Win11admins、hcampbell、bkwan)

    如果您提供的账号名称不存在,则系统不会在设备上创建新账号。系统会忽略不存在的账号,并处理其余有效账号。从具有本地管理员访问权限的账号字段中移除用户或群组名称并不会将其从本地管理员群组中移除。不过,在未来的设备同步过程中,系统不会添加已移除的名称。

    重要提示:我们建议您不要使用具有本地管理权限的账号字段。此字段仅用于历史目的,不太可能需要。

  7. 点击保存。或者,您也可以针对组织部门点击覆盖

    如果之后要恢复继承的值,请点击继承

问题排查

如果管理设置未按预期应用,您可以在 Windows 设备上查看设备管理事件日志,以获取详细的诊断信息。

如需查看设备管理事件日志,请执行以下操作:

  1. 在目标设备上,打开事件查看器。您可以在 Windows“开始”菜单中搜索“事件查看器”来找到它。
  2. 依次前往应用程序和服务日志 然后 Microsoft 然后 Windows 然后 DeviceManagement-Enterprise-Diagnostics-Provider 然后 Admin
  3. 查看与 CSP LocalUsersAndGroups 相关的事件。

日志示例:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

概览:增强的 Windows 桌面设备安全性功能


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。