אדמינים יכולים להגדיר את רמת ההרשאות האדמיניסטרטיביות המקומיות שמשתמש יכול לקבל במכשירי Microsoft Windows 10 או 11. לדוגמה, אפשר לאפשר שליטה מוגבלת או גישה מלאה. רמת ההרשאה הזו ניתנת לחשבון Windows שמשויך לחשבון Google של המשתמש, ולא לחשבון Google של המשתמש.
אפשר גם לתת הרשאות אדמין לחשבונות קיימים אחרים ב-Windows. החשבונות האלה יכולים להיות מקומיים במכשיר או משתמשים וקבוצות ב-Active Directory, גם אם הם עדיין לא נכנסו למכשיר.
לפני שמתחילים
כדי לתת הרשאות אדמין מקומיות, המכשיר צריך להיות בניהול מכשירי Windows.
הגדרת הרשאות אדמין
לפני שמתחילים: אם צריכים להגדיר מחלקה או צוות עבור ההגדרה הזו, עוברים אל הוספת יחידה ארגונית.
ההגדרה הזו עוזרת לכם לנהל את גישת האדמין המקומית למשתמשים ב-Google Credential Provider for Windows (GCPW). משתמש GCPW יכול להיות משתמש רגיל או אדמין מקומי.
כדי להחיל את הגדרות ההרשאות האלה, המערכת משתמשת בספק שירותי התצורה (CSP) של Microsoft LocalUsersAndGroups במהלך אירוע הסנכרון של המכשיר. כשההגדרה ניהול גישת אדמין מקומית למכשירים מופעלת במסוף Google Admin, ה-CSP מעבד את ההגדרה כדי להעניק הרשאות אדמין מקומיות למשתמשי GCPW ולמשתמשי Active Directory, לקבוצות או למשתמשי Windows מקומיים שצוינו בשדה חשבונות עם גישת אדמין מקומית.
-
במסוף Google Admin, נכנסים לתפריט
מכשירים
ניידים ונקודות קצה
הגדרות
Windows. כדי לעשות את זה צריך הרשאת אדמין לשירותים ומכשירים.
- לוחצים על הגדרות חשבון.
- (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
- בקטע ניהול של הרשאת אדמין מקומית למכשירים, בוחרים באפשרות מופעל מתוך רשימת הפריטים.
כדי להגדיר את ההרשאות בחשבון למשתמשי GCPW:
- בקטע סוג חשבון משתמש, בוחרים באפשרות משתמש רגיל כדי להקצות למשתמשים חשבונות רגילים ללא הרשאות אדמין.
בקטע סוג חשבון משתמש, בוחרים באפשרות אדמין מקומי כדי להקצות למשתמשים הרשאות אדמין מקומיות.
מגבלה ב-Windows: למשתמשים ב-GCPW מוענקות הרשאות אדמין מקומיות במהלך הכניסה השנייה שלהם למכשיר. למרות שהסנכרון של המכשיר אחרי הכניסה הראשונית מוסיף אותם לקבוצת האדמינים, השינוי הופך לפעיל רק בכניסה הבאה.
(אופציונלי) כדי לתת הרשאות אדמין מקומיות למשתמשים קיימים ב-Active Directory, לקבוצות ב-Active Directory או לחשבונות משתמשים מקומיים ב-Windows, מוסיפים אותם בשדה Accounts with local administrative access. צריך להשתמש בפורמטים הבאים ולהפריד בין כמה ערכים באמצעות פסיקים:
- משתמשי Active Directory: YourDomain\user
- קבוצות ב-Active Directory: YourDomain\group
- משתמשים מקומיים: שם משתמש
אם תזינו שם חשבון שלא קיים, לא ייווצר חשבון חדש במכשיר. המערכת תתעלם מחשבונות שלא קיימים ותעבד את שאר החשבונות התקינים. הסרה של שמות משתמשים או שמות קבוצות מהשדה לא תסיר אותם מהקבוצה 'אדמין מקומי', אבל השמות שהוסרו לא יתווספו במהלך סנכרונים עתידיים של המכשיר.
חשוב: אנחנו ממליצים לא להשתמש בשדה הזה, שקיים לצורך המשכיות היסטורית, וסביר להניח שלא תצטרכו אותו.
-
לוחצים על שמירה. לחלופין, אתם יכולים ללחוץ על שינוי עבור יחידה ארגונית.
אם מאוחר יותר רוצים לשחזר את הערך שעבר בירושה, לוחצים על ירושה.
פתרון בעיות
אם הגדרות האדמין לא מוחלות כמו שרציתם, אתם יכולים לבדוק את יומני האירועים של ניהול המכשירים במכשיר Windows כדי לקבל מידע מפורט לאבחון.
- פותחים את Event Viewer במכשיר היעד על ידי חיפוש של 'Event Viewer' בתפריט ההתחלה של Windows.
- עוברים אל Applications and Services Logs (יומני אפליקציות ושירותים)
Microsoft
Windows
DeviceManagement-Enterprise-Diagnostics-Provider
Admin (ניהול).
- בדיקת אירועים שקשורים ל-CSP LocalUsersAndGroups.
יומנים לדוגמה:
MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.
נושא קשור
סקירה כללית: אבטחת מחשב משופרת ל-Windows
Google, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.