Ustawianie uprawnień konta na urządzeniach z systemem Windows 10 lub 11

Ta funkcja jest dostępna w tych wersjach: Frontline Starter, Frontline Standard i Frontline Plus; Business Plus; Enterprise Standard i Enterprise Plus; Education Standard, Education Plus i Endpoint Education Upgrade; Enterprise Essentials i Enterprise Essentials Plus; Cloud Identity Premium.  Porównanie wersji

Jako administrator możesz określić lokalny poziom uprawnień administracyjnych użytkownika na urządzeniach z systemem Microsoft Windows 10 lub 11. Możesz na przykład przyznać mu ograniczoną kontrolę lub pełny dostęp. Ten poziom uprawnień jest przyznawany kontu Windows powiązanemu z kontem Google użytkownika, a nie kontu Google użytkownika.

Możesz też przyznać uprawnienia administracyjne innym istniejącym kontom systemu Windows. Mogą być to konta przypisane do urządzenia lub użytkowników i grup Active Directory, nawet jeśli nie zalogowali się jeszcze na urządzeniu.

Zanim zaczniesz

Aby można było przyznać lokalne uprawnienia administracyjne, urządzenie musi być objęte zarządzaniem urządzeniami z systemem Windows.

Ustawianie uprawnień administracyjnych

Zanim zaczniesz: jeśli musisz skonfigurować dział lub zespół dla tego ustawienia, przeczytaj artykuł Dodawanie jednostki organizacyjnej.

To ustawienie pomaga zarządzać lokalnym dostępem administracyjnym użytkowników dostawcy danych uwierzytelniających Google do systemów Windows (GCPW). Użytkownik GCPW może być użytkownikiem standardowym lub lokalnym administratorem.

Aby zastosować te ustawienia uprawnień, system używa dostawcy usług konfiguracji (CSP) LocalUsersAndGroups firmy Microsoft podczas synchronizacji urządzenia. Gdy w konsoli administracyjnej Google włączona jest opcja Zarządzaj lokalnym dostępem administracyjnym do urządzeń, dostawca usług kryptograficznych przetwarza konfigurację, aby przyznać uprawnienia administratora lokalnego użytkownikom GCPW oraz dotychczasowym użytkownikom Active Directory, grupom lub lokalnym użytkownikom systemu Windows określonym w polu Konta z lokalnym dostępem administracyjnym.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Urządzenia a potemUrządzenia mobilne i punkty końcowe a potemUstawienia a potemWindows

    Wymaga uprawnień administratora Usługi i urządzenia.

  2. Kliknij Ustawienia konta.
  3. (Opcjonalnie) Aby zastosować ustawienie na potrzeby działu lub zespołu, z boku wybierz jednostkę organizacyjną.
  4. Z listy elementów w obszarze Zarządzaj lokalnym dostępem administracyjnym do urządzeń wybierz opcję Włączone.

  5. Aby ustawić uprawnienia konta użytkowników GCPW:

    • W przypadku ustawienia Typ konta użytkownika wybierz Zwykły użytkownik, aby przypisać użytkownikom konta standardowe bez uprawnień administratora.

    • W przypadku ustawienia Typ konta użytkownika wybierz Administrator lokalny, aby przyznać użytkownikom uprawnienia administratorów lokalnych.

      Ograniczenie systemu Windows: użytkownicy GCPW otrzymują lokalne uprawnienia administratora podczas drugiego logowania się na urządzeniu. Synchronizacja urządzenia po pierwszym zalogowaniu dodaje użytkownika do grupy administratorów, ale zmiana staje się aktywna dopiero po kolejnym logowaniu.

  6. (Opcjonalnie) Aby przyznać uprawnienia administratora lokalnego dotychczasowym użytkownikom Active Directory, grupom Active Directory lub lokalnym kontom użytkowników systemu Windows, dodaj ich w polu Konta z lokalnym dostępem administracyjnym. Użyj tych formatów i rozdziel wiele wartości przecinkami:

    • Użytkownicy Active Directory: TwojaDomena\użytkownik
    • Grupy Active Directory: TwojaDomena\grupa
    • Użytkownicy lokalni: nazwa użytkownika

    Jeśli podasz nazwę konta, które nie istnieje, nowe konto nie zostanie utworzone na urządzeniu. Nieistniejące konta zostaną zignorowane, a pozostałe prawidłowe konta zostaną przetworzone. Usunięcie nazw użytkowników lub grup z pola nie spowoduje usunięcia ich z grupy administratorów lokalnych, ale usunięte nazwy nie będą dodawane podczas przyszłych synchronizacji urządzeń.

    Ważne: nie zalecamy używania tego pola, które istnieje ze względu na ciągłość historyczną i prawdopodobnie nie będzie potrzebne.

  7. Kliknij Zapisz. Możesz też kliknąć Zastąp w przypadku jednostki organizacyjnej.

    Aby później przywrócić odziedziczoną wartość, kliknij Odziedzicz.

Rozwiązywanie problemów

Jeśli ustawienia administracyjne nie są stosowane zgodnie z Twoimi oczekiwaniami, możesz przejrzeć dzienniki zdarzeń zarządzania urządzeniami na urządzeniu z systemem Windows, aby uzyskać szczegółowe informacje diagnostyczne.

  1. Otwórz Podgląd zdarzeń na urządzeniu docelowym, wyszukując „Podgląd zdarzeń” w menu Start systemu Windows.
  2. Otwórz Dzienniki aplikacji i usług a potemMicrosoft a potemWindows a potemDeviceManagement-Enterprise-Diagnostics-Provider a potemAdministrator.
  3. Sprawdź zdarzenia związane z dostawcą usług kryptograficznych LocalUsersAndGroups.

Przykładowe logi:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Omówienie: rozszerzona ochrona komputera z systemem Windows


Google, Google Workspace i inne powiązane nazwy są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.