Настройка прав доступа к учетной записи на устройствах с Windows 10 или 11.

Поддерживаемые версии для этой функции: Frontline Starter, Frontline Standard и Frontline Plus; Business Plus; Enterprise Standard и Enterprise Plus; Education Standard, Education Plus и Endpoint Education Upgrade; Enterprise Essentials и Enterprise Essentials Plus; Cloud Identity Premium. Сравните свою версию .

Как администратор, вы можете установить уровень локальных административных привилегий, которыми может обладать пользователь на своих устройствах Microsoft Windows 10 или 11. Например, вы можете разрешить ограниченный контроль или полный доступ. Этот уровень привилегий предоставляется учетной записи Windows, связанной с учетной записью Google пользователя, а не самой учетной записи Google пользователя.

Вы также можете предоставить административные привилегии другим существующим учетным записям Windows. Эти учетные записи могут быть локальными для устройства или принадлежать пользователям и группам Active Directory, даже если они еще не вошли в систему на устройстве.

Прежде чем начать

Для предоставления локальных административных привилегий устройство должно находиться в диспетчере устройств Windows.

Установить административные привилегии

Перед началом работы: Если вам необходимо создать отдел или команду для этих настроек, перейдите в раздел «Добавить организационное подразделение» .

Этот параметр помогает управлять локальным административным доступом пользователей Google Credential Provider for Windows (GCPW). Пользователь GCPW может быть как обычным пользователем, так и локальным администратором.

Для применения этих параметров привилегий система использует поставщик услуг конфигурации Microsoft LocalUsersAndGroups (CSP) во время синхронизации устройств. Когда в консоли администратора Google включена опция «Управление локальным административным доступом к устройствам» , CSP обрабатывает конфигурацию для предоставления локальных административных привилегий пользователям GCPW и существующим пользователям Active Directory, группам или локальным пользователям Windows, указанным в поле «Учетные записи с локальным административным доступом» .

  1. В консоли администратора Google перейдите в меню. а потом Устройства а потом Мобильные устройства и конечные точки а потом Настройки а потом Windows .

    Для этого требуются права администратора служб и устройств .

  2. Нажмите «Настройки учетной записи» .
  3. (Необязательно) Чтобы применить настройку к отделу или команде, выберите организационное подразделение сбоку.
  4. В разделе «Управление локальным административным доступом к устройствам» выберите «Включено» из списка элементов.

  5. Чтобы установить права доступа для пользователей GCPW:

    • В поле «Тип учетной записи пользователя» выберите «Стандартный пользователь» , чтобы назначить пользователям стандартные учетные записи без административных привилегий.

    • В поле «Тип учетной записи пользователя» выберите «Локальный администратор» , чтобы назначить пользователям локальные административные привилегии.

      Ограничение Windows: пользователям GCPW предоставляются права локального администратора при втором входе в систему на устройстве. Хотя синхронизация устройства после первого входа в систему добавляет их в группу администраторов, это изменение вступает в силу только при последующем входе в систему.

  6. (Необязательно) Чтобы предоставить локальные права администратора существующим пользователям Active Directory, группам Active Directory или локальным учетным записям пользователей Windows, добавьте их в поле « Учетные записи с локальным административным доступом ». Используйте следующие форматы и разделяйте несколько значений запятыми:

    • Пользователи Active Directory : YourDomain\user
    • Группы Active Directory : YourDomain\group
    • Локальные пользователи : имя пользователя

    Если вы укажете имя учетной записи, которой не существует, новая учетная запись на устройстве не будет создана. Несуществующие учетные записи будут проигнорированы, а будут обработаны оставшиеся действительные учетные записи. Удаление имен пользователей или групп из поля не приведет к их удалению из группы локальных администраторов, но удаленные имена не будут добавлены при последующих синхронизациях устройства.

    Важно : Мы рекомендуем не использовать это поле, поскольку оно существует для обеспечения исторической преемственности и вряд ли понадобится.

  7. Нажмите «Сохранить». Или вы можете нажать «Переопределить» для организационной единицы.

    Чтобы впоследствии восстановить унаследованное значение, нажмите кнопку «Наследовать» .

Поиск неисправностей

Если административные настройки применяются не так, как вы предполагали, вы можете просмотреть журналы событий управления устройством на устройстве Windows для получения подробной диагностической информации.

  1. Откройте «Просмотр событий» на целевом устройстве, выполнив поиск «Просмотр событий» в меню «Пуск» Windows.
  2. Перейдите в раздел «Журналы приложений и служб» . а потом Microsoft а потом Windows а потом Поставщик услуг по управлению устройствами для предприятий и диагностике а потом Администратор .
  3. Просмотрите события, связанные с CSP LocalUsersAndGroups.

Примеры логов:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Обзор: Улучшенная безопасность рабочего стола для Windows.


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.