Kontoberechtigungen auf Windows 10- oder 11-Geräten festlegen

Unterstützte Versionen für diese Funktion: Frontline Starter, Frontline Standard und Frontline Plus; Business Plus; Enterprise Standard und Enterprise Plus; Education Standard, Education Plus und Endpoint Education Upgrade; Enterprise Essentials und Enterprise Essentials Plus; Cloud Identity Premium.  Versionen vergleichen

Als Administrator können Sie festlegen, welche lokalen Administratorberechtigungen ein Nutzer auf seinen Microsoft Windows 10- oder 11-Geräten haben darf. Sie können beispielsweise eingeschränkte Steuerungsmöglichkeiten oder vollständigen Zugriff gewähren. Die Berechtigungsstufe wird dem Windows-Konto gewährt, das mit dem Google-Konto eines Nutzers verknüpft ist, nicht dem Google-Konto eines Nutzers.

Sie können auch Administratorberechtigungen für andere vorhandene Windows-Konten erteilen. Beispiele sind Konten, die sich lokal auf dem Gerät befinden, oder Active Directory-Nutzer und ‑Gruppen, auch wenn sie sich noch nicht auf dem Gerät angemeldet haben.

Hinweis

Damit lokale Administratorberechtigungen erteilt werden können, muss das Gerät der Windows-Geräteverwaltung unterliegen.

Administratorberechtigungen festlegen

Hinweis:Wenn Sie für diese Einstellung eine Abteilung oder ein Team einrichten möchten, lesen Sie den Hilfeartikel Organisationseinheit hinzufügen.

Mit dieser Einstellung können Sie den lokalen Administratorzugriff für Nutzer des Google-Anmeldeinformationsanbieters für Windows (GCPW) verwalten. Ein GCPW-Nutzer kann ein Standardnutzer oder ein lokaler Administrator sein.

Um diese Berechtigungseinstellungen anzuwenden, verwendet das System während der Gerätesynchronisierung den Microsoft LocalUsersAndGroups Configuration Service Provider (CSP). Wenn Lokalen Administratorzugriff auf Geräte verwalten in der Google Admin-Konsole aktiviert ist, verarbeitet der CSP die Konfiguration, um GCPW-Nutzern und den vorhandenen Active Directory-Nutzern, ‑Gruppen oder lokalen Windows-Nutzern, die im Feld Konten mit lokalem Administratorzugriff angegeben sind, lokale Administratorberechtigungen zu erteilen.

  1. Klicken Sie in der Admin-Konsole auf das Dreistrichmenü  und dann Geräte und dannMobilgeräte und Endpunkte und dannEinstellungen und dannWindows

    Hierfür benötigen Sie die Administratorberechtigung „Dienste und Geräte“.

  2. Klicken Sie auf Kontoeinstellungen.
  3. Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus.
  4. Wählen Sie unter Lokalen Administratorzugriff auf Geräte verwalten aus der Liste der Elemente Aktiviert aus.

  5. So legen Sie die Kontoberechtigungen für GCPW-Nutzer fest:

    • Wählen Sie für Nutzerkontotyp die Option Standardnutzer aus, um Nutzern Standardkonten ohne Administratorberechtigungen zuzuweisen.

    • Wählen Sie unter Nutzerkontotyp die Option Lokaler Administrator aus, um Nutzern lokale Administratorberechtigungen zuzuweisen.

      Windows-Einschränkung: GCPW-Nutzer erhalten bei der zweiten Anmeldung auf einem Gerät lokale Administratorberechtigungen. Obwohl das Gerät nach der ersten Anmeldung synchronisiert wird und der Nutzer dadurch der Gruppe „Administratoren“ hinzugefügt wird, wird die Änderung erst bei einer späteren Anmeldung aktiv.

  6. Optional: Wenn Sie vorhandenen Active Directory-Nutzern, Active Directory-Gruppen oder lokalen Windows-Nutzerkonten lokale Administratorberechtigungen erteilen möchten, fügen Sie sie dem Feld Konten mit lokalem Administratorzugriff hinzu. Verwenden Sie die folgenden Formate und trennen Sie mehrere Werte durch Kommas:

    • Active Directory-Nutzer: YourDomain\user
    • Active Directory-Gruppen: YourDomain\group
    • Lokale Nutzer: username

    Wenn Sie einen Kontonamen angeben, der nicht vorhanden ist, wird auf dem Gerät kein neues Konto erstellt. Nicht vorhandene Konten werden ignoriert und die verbleibenden gültigen Konten werden verarbeitet. Wenn Sie Nutzer- oder Gruppennamen aus dem Feld entfernen, werden sie nicht aus der Gruppe „Lokaler Administrator“ entfernt. Die entfernten Namen werden jedoch bei zukünftigen Gerätesynchronisierungen nicht hinzugefügt.

    Wichtig: Wir empfehlen, dieses Feld nicht zu verwenden, da es aus historischen Gründen vorhanden ist und wahrscheinlich nicht benötigt wird.

  7. Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.

    Wenn Sie den übernommenen Wert später wiederherstellen möchten, klicken Sie auf Übernehmen.

Fehlerbehebung

Wenn administrative Einstellungen nicht wie vorgesehen angewendet werden, können Sie die Ereignisprotokolle für die Geräteverwaltung auf dem Windows-Gerät aufrufen, um detaillierte Diagnoseinformationen zu erhalten.

  1. Öffnen Sie die Ereignisanzeige auf dem Zielgerät, indem Sie im Windows-Startmenü nach „Ereignisanzeige“ suchen.
  2. Rufen Sie Anwendungs- und Dienstprotokolle auf. und dannMicrosoft und dannWindows und dannDeviceManagement-Enterprise-Diagnostics-Provider und dannAdmin.
  3. Prüfen Sie Ereignisse im Zusammenhang mit dem CSP LocalUsersAndGroups.

Beispiellogs:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Erhöhte Computersicherheit für Windows


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.