Stel accountrechten in op Windows 10- of 11-apparaten.

Ondersteunde edities voor deze functie: Frontline Starter, Frontline Standard en Frontline Plus; Business Plus; Enterprise Standard en Enterprise Plus; Education Standard, Education Plus en Endpoint Education Upgrade; Enterprise Essentials en Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Als beheerder kunt u de instelling wijzigen voor het lokale beheerdersrechtenniveau dat een gebruiker op zijn Microsoft Windows 10- of 11-apparaten heeft. U kunt bijvoorbeeld beperkte controle of volledige toegang toestaan. Dit rechtenniveau wordt toegekend aan het Windows-account dat is gekoppeld aan het Google-account van een gebruiker, niet aan het Google-account van de gebruiker zelf.

U kunt ook beheerdersrechten toekennen aan andere bestaande Windows-accounts. Deze accounts kunnen lokaal op het apparaat zijn of gebruikers en groepen uit Microsoft Active Directory, zelfs als ze nog niet op het apparaat zijn aangemeld.

Voordat je begint

Om lokale beheerdersrechten te verlenen, moet het apparaat onder Windows-apparaatbeheer vallen.

Stel beheerdersrechten in

Voordat u begint: Als u een afdeling of team voor deze instelling wilt aanmaken, gaat u naar Een organisatie-eenheid toevoegen .

Met deze instelling kunt u de lokale beheerdersrechten voor Google Credential Provider for Windows (GCPW)-gebruikers beheren. Een GCPW-gebruiker kan een standaardgebruiker of een lokale beheerder zijn.

Om deze privilege-instellingen toe te passen, gebruikt het systeem de Microsoft LocalUsersAndGroups Configuration Service Provider (CSP) tijdens de synchronisatie van apparaten. Wanneer 'Lokale beheerdersrechten voor apparaten beheren' is ingeschakeld in de Google Admin-console, verwerkt de CSP de configuratie om lokale beheerdersrechten te verlenen aan GCPW-gebruikers en de bestaande Active Directory-gebruikers, -groepen of lokale Windows-gebruikers die zijn opgenomen in het veld 'Accounts met lokale beheerdersrechten' .

  1. Ga in de Google Admin-console naar Menu. en dan Apparaten en dan Mobiel & eindpunten en dan Instellingen en dan Windows .

    Hiervoor is beheerdersrechten voor services en apparaten vereist.

  2. Klik op Accountinstellingen .
  3. (Optioneel) Om de instelling op een afdeling of team toe te passen, selecteert u aan de zijkant een organisatie-eenheid .
  4. Selecteer bij Waarde de optie Ingeschakeld .

  5. Stel de accountrechten in voor GCPW-gebruikers:

    • Om gebruikers standaardaccounts zonder beheerdersrechten toe te wijzen, selecteert u bij Gebruikersaccounttype de optie Standaardgebruiker .

    • Om gebruikers lokale beheerdersrechten toe te wijzen, selecteert u bij Gebruikersaccounttype de optie Lokale beheerder .

      Beperking van Windows: GCPW-gebruikers worden aan de beheerdersgroep toegevoegd nadat ze zich voor de eerste keer aanmelden en hun apparaat synchroniseert. De instelling voor hun accountrechten wordt echter pas van kracht na hun volgende aanmelding.

  6. (Optioneel) Om lokale beheerdersrechten toe te kennen aan bestaande Active Directory-gebruikers, Active Directory-groepen of lokale Windows-gebruikersaccounts, voegt u deze toe in het veld Accounts met lokale beheerdersrechten . Gebruik de volgende indelingen en scheid meerdere waarden met komma's:

    • Active Directory-gebruikers : UwDomein\gebruiker (bijvoorbeeld UwDomein \jsmith)
    • Active Directory-groepen : UwDomein\groep (bijvoorbeeld UwDomein \jsmith, UwDomein \Win11admins)
    • Lokale gebruikers : gebruikersnaam (bijvoorbeeld lrayes, YourDomain \jsmith, rnguyen, YourDomain \Win11admins, hcampbell, bkwan)

    Als u een accountnaam opgeeft die niet bestaat, wordt er geen nieuw account op het apparaat aangemaakt. Niet-bestaande accounts worden genegeerd en de overige geldige accounts worden verwerkt. Het verwijderen van gebruikers- of groepsnamen uit het veld ' Accounts met lokale beheerdersrechten' verwijdert deze niet uit de groep 'Lokale beheerder'. De verwijderde namen worden echter niet toegevoegd tijdens toekomstige synchronisaties van het apparaat.

    Belangrijk: We raden af ​​om het veld ' Accounts met lokale beheerdersrechten' te gebruiken. Dit veld bestaat alleen voor historische doeleinden en is waarschijnlijk niet nodig.

  7. Klik op Opslaan. Of u kunt voor een organisatie-eenheid op Overschrijven klikken.

    Om de overgeërfde waarde later te herstellen, klikt u op Overnemen .

Probleemoplossing

Als de beheerdersinstellingen niet worden toegepast zoals u had bedoeld, kunt u de gebeurtenislogboeken van het apparaatbeheer op het Windows-apparaat raadplegen voor gedetailleerde diagnostische informatie.

Om de gebeurtenislogboeken voor apparaatbeheer te bekijken:

  1. Open op het doelapparaat de Logboeken (Event Viewer ). U kunt de Logboeken vinden door ernaar te zoeken in het Windows Startmenu.
  2. Ga naar Toepassings- en servicelogboeken. en dan Microsoft en dan Windows en dan Apparaatbeheer-Bedrijfsdiagnostiek-Provider en dan Beheerder .
  3. Bekijk de gebeurtenissen die gerelateerd zijn aan de CSP LocalUsersAndGroups.

Voorbeelden van logbestanden:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Overzicht: Verbeterde desktopbeveiliging voor Windows


Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.