Ställ in kontobehörigheter på Windows 10- eller 11-enheter

Utgåvor som stöds för den här funktionen: Frontline Starter, Frontline Standard och Frontline Plus; Business Plus; Enterprise Standard och Enterprise Plus; Education Standard, Education Plus och Endpoint Education Upgrade; Enterprise Essentials och Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

Som administratör kan du ändra inställningen för den lokala administratörsbehörighetsnivån som en användare kan ha på sina Microsoft Windows 10- eller 11-enheter. Du kan till exempel tillåta begränsad kontroll eller fullständig åtkomst. Denna behörighetsnivå beviljas det Windows-konto som är kopplat till en användares Google-konto, inte till en användares Google-konto.

Du kan också ge administratörsbehörighet till andra befintliga Windows-konton. Dessa konton kan vara lokala för enheten eller Microsoft Active Directory-användare och -grupper, även om de ännu inte har loggat in på enheten.

Innan du börjar

För att ge lokala administratörsbehörigheter måste enheten vara under Windows enhetshantering.

Ange administratörsbehörigheter

Innan du börjar: Om du behöver konfigurera en avdelning eller ett team för den här inställningen går du till Lägg till en organisationsenhet .

Den här inställningen hjälper dig att hantera lokal administrativ åtkomst för användare av Google Credential Provider for Windows (GCPW). En GCPW-användare kan vara en standardanvändare eller en lokal administratör.

För att tillämpa dessa behörighetsinställningar använder systemet Microsoft LocalUsersAndGroups Configuration Service Provider (CSP) under enhetssynkroniseringshändelsen. När Hantera lokal administrativ åtkomst till enheter är aktiverat i Googles administratörskonsol bearbetar CSP:n konfigurationen för att ge lokala administratörsbehörigheter till GCPW-användare och de befintliga Active Directory-användare, grupper eller lokala Windows-användare som ingår i fältet Konton med lokal administrativ åtkomst .

  1. I Googles administratörskonsol, gå till Meny och sedan Enheter och sedan Mobil och slutpunkter och sedan Inställningar och sedan Fönster .

    Kräver administratörsbehörighet för tjänster och enheter .

  2. Klicka på Kontoinställningar .
  3. (Valfritt) För att tillämpa inställningen på en avdelning eller ett team, välj en organisationsenhet till sidan.
  4. För Värde väljer du Aktiverad .

  5. Ställ in kontobehörigheter för GCPW-användare:

    • För att tilldela användare standardkonton utan administratörsbehörighet, välj Standardanvändare för Användarkontotyp .

    • För att tilldela användare lokala administratörsbehörigheter, välj Lokal administratör för Användarkontotyp .

      Windows-begränsning: GCPW-användare läggs till i gruppen administratörer efter att de har loggat in för första gången och deras enhet synkroniseras. Inställningen för deras kontobehörigheter träder dock inte i kraft förrän efter deras nästa inloggning.

  6. (Valfritt) Om du vill ge lokala administratörsbehörigheter till befintliga Active Directory-användare, Active Directory-grupper eller lokala Windows-användarkonton lägger du till dem i fältet Konton med lokal administrativ åtkomst . Använd följande format och separera flera värden med kommatecken:

    • Active Directory-användare : DinDomän\användare (till exempel DinDomän \jsmith)
    • Active Directory-grupper : DinDomän\grupp (till exempel DinDomän \jsmith, DinDomän \Win11admins)
    • Lokala användare : användarnamn (till exempel lrayes, DinDomän \jsmith, rnguyen, DinDomän \Win11admins, hcampbell, bkwan)

    Om du anger ett kontonamn som inte finns skapas inget nytt konto på enheten. Konton som inte finns ignoreras och de återstående giltiga kontona bearbetas. Att ta bort användar- eller gruppnamn från fältet Konton med lokal administrativ åtkomst tar inte bort dem från gruppen Lokal administratör. De borttagna namnen läggs dock inte till under framtida enhetssynkroniseringar.

    Viktigt: Vi rekommenderar att du inte använder fältet Konton med lokal administrativ åtkomst . Det här fältet finns endast för historiska ändamål och kommer sannolikt inte att behövas.

  7. Klicka på Spara. Eller så kan du klicka på Åsidosätt för en organisationsenhet.

    För att senare återställa det ärvda värdet klickar du på Ärv .

Felsökning

Om administrativa inställningar inte tillämpas som avsett kan du granska händelseloggarna för enhetshantering på Windows-enheten för detaljerad diagnostikinformation.

Så här visar du händelseloggarna för enhetshantering:

  1. Öppna Loggboken på målenheten. Du hittar Loggboken genom att söka efter den i Windows Start-meny.
  2. Gå till program- och tjänstloggar och sedan Microsoft och sedan Fönster och sedan Leverantör av enhetshantering-företagsdiagnostik och sedan Administratör .
  3. Granska händelserna som är relaterade till CSP LocalUsersAndGroups.

Exempelloggar:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Översikt: Förbättrad skrivbordssäkerhet för Windows


Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.