Cómo establecer privilegios de cuenta en dispositivos con Windows 10 u 11

Ediciones compatibles con esta función: Frontline Starter, Frontline Standard y Frontline Plus; Business Plus; Enterprise Standard y Enterprise Plus; Education Standard, Education Plus y Endpoint Education Upgrade; Enterprise Essentials y Enterprise Essentials Plus; Cloud Identity Premium.  Compara tu edición

Como administrador, puedes establecer el nivel de privilegio administrativo local que un usuario puede tener en sus dispositivos Microsoft Windows 10 o 11. Por ejemplo, puedes permitir el control limitado o el acceso completo. Este nivel de privilegio se otorga a la cuenta de Windows asociada a la Cuenta de Google de un usuario, no a la Cuenta de Google de un usuario.

También puedes proporcionar privilegios de administrador a otras cuentas de Windows existentes. Estas cuentas pueden ser locales en el dispositivo o usuarios y grupos de Active Directory, incluso si aún no accedieron al dispositivo.

Antes de comenzar

Para otorgar privilegios administrativos locales, el dispositivo debe estar bajo la administración de dispositivos de Windows.

Cómo establecer privilegios de administrador

Antes de comenzar: Si necesitas establecer un departamento o equipo para este parámetro de configuración, consulta Cómo agregar una unidad organizativa.

Este parámetro de configuración te ayuda a administrar el acceso administrativo local para los usuarios del Proveedor de credenciales de Google para Windows (GCPW). Un usuario de GCPW puede ser un usuario estándar o un administrador local.

Para aplicar estos parámetros de configuración de privilegios, el sistema usa el proveedor de servicios de configuración (CSP) LocalUsersAndGroups de Microsoft durante el evento de sincronización del dispositivo. Cuando la opción Administrar el acceso administrativo local a los dispositivos está activada en la Consola del administrador de Google, el CSP procesa la configuración para otorgar privilegios de administrador local a los usuarios de GCPW y a los usuarios, grupos o usuarios locales de Windows existentes que se especifican en el campo Cuentas con acceso administrativo local.

  1. En la Consola del administrador de Google, ve a Menú y luego Dispositivos y luegoDispositivos móviles y extremos y luegoConfiguración y luegoWindows

    Es necesario tener el privilegio de administrador de Servicios y dispositivos.

  2. Haz clic en Configuración de la cuenta.
  3. (Opcional) Para aplicar el parámetro de configuración a un departamento o equipo, en el costado, selecciona una unidad organizativa.
  4. En Administrar el acceso de administrador local a los dispositivos, selecciona Habilitado en la lista de elementos.

  5. Para establecer los privilegios de la cuenta para los usuarios de GCPW, sigue estos pasos:

    • En Tipo de cuenta de usuario, selecciona Usuario estándar para asignar a los usuarios cuentas estándar sin privilegios de administrador.

    • En Tipo de cuenta de usuario, selecciona Administrador local para asignar privilegios administrativos locales a los usuarios.

      Limitación de Windows: Los usuarios de GCPW obtienen privilegios de administrador local durante su segundo acceso al dispositivo. Si bien la sincronización del dispositivo después de su acceso inicial lo agrega al grupo de administradores, el cambio solo se activa después de un acceso posterior.

  6. (Opcional) Para otorgar privilegios de administrador local a los usuarios existentes de Active Directory, los grupos de Active Directory o las cuentas de usuario locales de Windows, agrégalos en el campo Cuentas con acceso administrativo local. Usa los siguientes formatos y separa varios valores con comas:

    • Usuarios de Active Directory: TuDominio\usuario
    • Grupos de Active Directory: TuDominio\grupo
    • Usuarios locales: nombre de usuario

    Si proporcionas un nombre de cuenta que no existe, no se creará una cuenta nueva en el dispositivo. Se ignorarán las cuentas que no existan y se procesarán las cuentas válidas restantes. Si quitas nombres de usuarios o grupos del campo, no se quitarán del grupo de administradores locales, pero los nombres quitados no se agregarán durante las futuras sincronizaciones de dispositivos.

    Importante: Te recomendamos que no uses este campo, que existe por continuidad histórica y es poco probable que lo necesites.

  7. Haz clic en Guardar. También puedes hacer clic en Anular para una unidad organizativa.

    Para restablecer después el valor heredado, haz clic en Heredar.

Solución de problemas

Si la configuración administrativa no se aplica como esperabas, puedes revisar los registros de eventos de administración de dispositivos en el dispositivo Windows para obtener información de diagnóstico detallada.

  1. Abre el Visor de eventos en el dispositivo de destino. Para ello, busca "Visor de eventos" en el menú Inicio de Windows.
  2. Navega a Registros de aplicaciones y servicios y luegoMicrosoft y luegoWindows y luegoDeviceManagement-Enterprise-Diagnostics-Provider y luegoAdmin.
  3. Revisa los eventos relacionados con el CSP LocalUsersAndGroups.

Registros de ejemplo:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Descripción general: Mayor seguridad para las computadoras de escritorio con Windows


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.