Menetapkan hak istimewa akun di perangkat Windows 10 atau 11

Edisi yang didukung untuk fitur ini: Frontline Starter, Frontline Standard, dan Frontline Plus; Business Plus; Enterprise Standard dan Enterprise Plus; Education Standard, Education Plus, dan Endpoint Education Upgrade; Enterprise Essentials dan Enterprise Essentials Plus; Cloud Identity Premium.  Bandingkan edisi Anda

Sebagai administrator, Anda dapat menetapkan tingkat hak istimewa administratif lokal yang dapat dimiliki pengguna pada perangkat Microsoft Windows 10 atau 11 miliknya. Misalnya, Anda dapat mengizinkan kontrol terbatas atau akses penuh. Tingkat hak istimewa ini diberikan ke akun Windows yang dikaitkan dengan Akun Google pengguna, bukan ke Akun Google pengguna.

Anda juga dapat memberikan hak istimewa administratif ke akun Windows lain yang ada. Akun tersebut dapat berupa akun lokal ke perangkat atau pengguna dan grup Active Directory, meskipun belum digunakan untuk login ke perangkat.

Sebelum memulai

Untuk memberikan hak istimewa administratif lokal, perangkat harus berada di bawah pengelolaan perangkat Windows.

Menetapkan hak istimewa administratif

Sebelum memulai: Jika Anda perlu menyiapkan departemen atau tim untuk setelan ini, buka Menambahkan unit organisasi.

Setelan ini membantu Anda mengelola akses administratif lokal untuk pengguna Penyedia Kredensial Google untuk Windows (GCPW). Pengguna GCPW dapat berupa pengguna standar atau administrator lokal.

Untuk menerapkan setelan hak istimewa ini, sistem menggunakan Penyedia Layanan Konfigurasi (CSP) Microsoft LocalUsersAndGroups selama peristiwa sinkronisasi perangkat. Jika Kelola akses administratif lokal ke perangkat diaktifkan di konsol Google Admin, CSP akan memproses konfigurasi untuk memberikan hak istimewa administrator lokal kepada pengguna GCPW dan pengguna, grup, atau pengguna Windows lokal Active Directory yang ada yang ditentukan di kolom Akun dengan akses administratif lokal.

  1. Di konsol Google Admin, buka Menu lalu Perangkat laluSeluler & endpoint laluSetelan laluWindows

    Anda harus memiliki hak istimewa administrator Layanan dan perangkat.

  2. Klik Setelan akun.
  3. (Opsional) Untuk menerapkan setelan ke departemen atau tim, di bagian samping, pilih unit organisasi.
  4. Pada Kelola akses administratif lokal ke perangkat, pilih Aktifkan dari daftar item.

  5. Untuk menetapkan hak istimewa akun bagi pengguna GCPW:

    • Untuk Jenis akun pengguna, pilih Pengguna Standar untuk menetapkan akun standar kepada pengguna tanpa hak istimewa administratif.

    • Untuk Jenis akun pengguna, pilih Administrator Lokal untuk menetapkan hak istimewa administratif lokal kepada pengguna.

      Batasan Windows: Pengguna GCPW diberi hak istimewa administrator lokal selama login perangkat kedua mereka. Meskipun sinkronisasi perangkat setelah login awal menambahkan pengguna ke grup administrator, perubahan hanya akan aktif saat login berikutnya.

  6. (Opsional) Untuk memberikan hak istimewa admin lokal kepada pengguna Active Directory, grup Active Directory, atau akun pengguna Windows lokal yang ada, tambahkan mereka di kolom Akun dengan akses administratif lokal. Gunakan format berikut dan pisahkan beberapa nilai dengan koma:

    • Pengguna Active Directory: DomainAnda\pengguna
    • Grup Active Directory: DomainAnda\grup
    • Pengguna lokal: nama pengguna

    Jika Anda memberikan nama akun yang tidak ada, akun baru tidak akan dibuat di perangkat. Akun yang tidak ada akan diabaikan, dan akun valid yang tersisa akan diproses. Menghapus nama pengguna atau grup dari kolom tidak akan menghapusnya dari grup Administrator Lokal, tetapi nama yang dihapus tidak akan ditambahkan selama sinkronisasi perangkat mendatang.

    Penting: Sebaiknya jangan gunakan kolom ini, yang ada untuk kesinambungan historis dan kemungkinan tidak diperlukan.

  7. Klik Simpan. Atau, Anda dapat mengklik Ganti untuk unit organisasi.

    Untuk memulihkan nilai yang diwarisi pada lain waktu, klik Warisi.

Pemecahan masalah

Jika setelan administratif tidak diterapkan sesuai keinginan Anda, Anda dapat meninjau log peristiwa pengelolaan perangkat di perangkat Windows untuk mendapatkan informasi diagnostik mendetail.

  1. Buka Event Viewer di perangkat target dengan menelusuri "Event Viewer" di menu Start Windows.
  2. Buka Applications and Services Logs laluMicrosoft laluWindows laluDeviceManagement-Enterprise-Diagnostics-Provider laluAdmin.
  3. Tinjau peristiwa yang terkait dengan CSP LocalUsersAndGroups.

Contoh log:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Ringkasan: Keamanan desktop yang disempurnakan untuk Windows


Google, Google Workspace, serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang dari masing-masing perusahaan yang bersangkutan.