ضبط امتيازات الحساب على أجهزة Windows 10 أو Windows 11

الإصدارات المتوافقة مع هذه الميزة: Frontline Starter وFrontline Standard وFrontline Plus وBusiness Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEndpoint Education Upgrade وEnterprise Essentials وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity.  مقارنة إصدارك

بصفتك مشرفًا، يمكنك ضبط مستوى امتيازات المشرف المحلي التي يمكن أن يمتلكها المستخدم على الأجهزة التي تعمل بنظام تشغيل Microsoft Windows 10 أو 11. مثلاً، يمكنك السماح بالتحكُّم المحدود أو الوصول الكامل. ويُمنح مستوى الامتياز هذا لحساب Windows المرتبط بحساب مستخدم على Google، وليس لحساب Google للمستخدم.

يمكنك أيضًا توفير امتيازات إدارية لحسابات Windows أخرى حالية. ويمكن أن تكون هذه الحسابات محلية لمستخدمي الجهاز أو Active Directory، حتى إذا لم يسجلوا الدخول بعد إلى الجهاز.

قبل البدء

لمنح امتيازات إدارية محلية، يجب أن يكون الجهاز خاضعًا لإدارة أجهزة Windows.

ضبط امتيازات المشرف

قبل البدء: إذا كنت بحاجة إلى إعداد قسم أو فريق لهذا الإعداد، يمكنك الانتقال إلى إضافة وحدة تنظيمية.

يساعدك هذا الإعداد في إدارة إذن الوصول الإداري المحلي لمستخدمي "مزوّد بيانات الاعتماد في Google لنظام التشغيل Windows" ‏ (GCPW). يمكن أن يكون مستخدم GCPW مستخدمًا عاديًا أو مشرفًا محليًا.

لتطبيق إعدادات الأذونات هذه، يستخدم النظام "مقدّم خدمة ضبط Microsoft LocalUsersAndGroups" (CSP) أثناء حدث مزامنة الجهاز. عند تفعيل خيار إدارة إذن الوصول الإداري المحلي إلى الأجهزة في "وحدة تحكّم المشرف في Google"، تعالج موفّر خدمة التكوين (CSP) عملية الإعداد لمنح امتيازات المشرف المحلي لمستخدمي GCPW ومستخدمي Active Directory الحاليين أو المجموعات أو مستخدمي Windows المحليين المحدّدين في حقل الحسابات التي لديها إذن وصول إداري محلي.

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأجهزة ثمالأجهزة الجوّالة ونقاط النهاية ثمالإعدادات ثمWindows

    يجب الحصول على امتياز مشرف الخدمات والأجهزة.

  2. انقر على إعدادات الحساب.
  3. (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة.
  4. ضمن إدارة إذن الوصول الإداري المحلي إلى الأجهزة، اختَر مُفعَّل من قائمة العناصر.

  5. لضبط امتيازات الحساب لمستخدمي GCPW، اتّبِع الخطوات التالية:

    • بالنسبة إلى نوع حساب المستخدم، اختَر مستخدم عادي لمنح المستخدمين حسابات عادية بدون امتيازات المشرف.

    • في حقل نوع حساب المستخدم، اختَر مشرف محلي لمنح المستخدمين امتيازات المشرف المحلي.

      قيود Windows: يتم منح مستخدمي GCPW امتيازات المشرف المحلي أثناء تسجيل الدخول إلى الجهاز للمرة الثانية. على الرغم من أنّ مزامنة الجهاز بعد تسجيل الدخول الأوّلي تضيف المستخدم إلى مجموعة المشرفين، لن يصبح التغيير نشطًا إلا عند تسجيل الدخول لاحقًا.

  6. (اختياري) لمنح امتيازات المشرف المحلي لمستخدمي Active Directory الحاليين أو مجموعات Active Directory أو حسابات المستخدمين المحلية على Windows، أضِفهم في حقل الحسابات التي لديها إذن وصول إداري محلي. استخدِم التنسيقات التالية وافصل بين القيم المتعددة بفواصل:

    • مستخدمو Active Directory: النطاق/المستخدم
    • مجموعات Active Directory: النطاق/المجموعة
    • المستخدمون المحليون: اسم_المستخدم

    إذا قدّمت اسم حساب غير موجود، لن يتم إنشاء حساب جديد على الجهاز. سيتم تجاهل الحسابات غير المتوفّرة، وستتم معالجة الحسابات الصالحة المتبقية. لن تؤدي إزالة أسماء المستخدمين أو المجموعات من الحقل إلى إزالتها من مجموعة "المشرف المحلي"، ولكن لن تتم إضافة الأسماء التي تمت إزالتها أثناء عمليات مزامنة الأجهزة المستقبلية.

    ملاحظة مهمة: ننصح بعدم استخدام هذا الحقل الذي تمّت إضافته لضمان استمرار السجلّ السابق، ومن غير المرجّح أن تحتاج إليه.

  7. انقر على حفظ. أو يمكنك النقر على تجاوز لوحدة تنظيمية.

    لاستعادة القيمة المكتسَبة لاحقًا، انقر على اكتساب.

تحديد المشاكل وحلّها

إذا لم يتم تطبيق إعدادات المشرف على النحو المطلوب، يمكنك مراجعة سجلات أحداث إدارة الأجهزة على جهاز Windows للحصول على معلومات تشخيصية تفصيلية.

  1. افتح عارض الأحداث على الجهاز المستهدف من خلال البحث عن "عارض الأحداث" في قائمة "ابدأ" في Windows.
  2. انتقِل إلى سجلات التطبيقات والخدمات ثمMicrosoft ثمWindows ثمDeviceManagement-Enterprise-Diagnostics-Provider ثمالمشرف.
  3. راجِع الأحداث ذات الصلة بـ CSP LocalUsersAndGroups.

أمثلة على السجلّات:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

نظرة عامة: خدمة أمان جهاز كمبيوتر سطح المكتب المُحسَّنة لنظام التشغيل Windows


إنّ Google وGoogle Workspace والعلامات والشعارات المرتبطة بهما هي علامات تجارية مسجَّلة مملوكة من قِبل شركة Google LLC. وجميع أسماء الشركات والمنتجات الأخرى هي علامات تجارية تملكها الشركات ذات الصلة بها.