Thiết lập đặc quyền cho tài khoản trên thiết bị Windows 10 hoặc 11

Các phiên bản hỗ trợ tính năng này: Frontline Starter, Frontline Standard và Frontline Plus; Business Plus; Enterprise Standard và Enterprise Plus; Education Standard, Education Plus và Endpoint Education Upgrade; Enterprise Essentials và Enterprise Essentials Plus; Cloud Identity Premium.  So sánh phiên bản của bạn

Với vai trò là quản trị viên, bạn có thể đặt cấp đặc quyền quản trị viên cục bộ mà người dùng có thể có trên thiết bị Microsoft Windows 10 hoặc 11. Ví dụ: bạn có thể cho phép quyền kiểm soát hạn chế hoặc quyền truy cập đầy đủ. Cấp đặc quyền này được cấp cho tài khoản Windows liên kết với Tài khoản Google của người dùng, không cấp cho Tài khoản Google của người dùng.

Bạn cũng có thể cấp đặc quyền quản trị cho các tài khoản Windows hiện có khác. Các tài khoản này có thể là tài khoản cục bộ trên thiết bị hoặc người dùng và nhóm Active Directory, ngay cả khi họ chưa đăng nhập vào thiết bị.

Trước khi bắt đầu

Để cấp đặc quyền quản trị viên cục bộ, thiết bị phải được quản lý bằng giải pháp quản lý thiết bị Windows.

Đặt đặc quyền của quản trị viên

Trước khi bắt đầu: Nếu bạn cần thiết lập một bộ phận hoặc nhóm cho chế độ cài đặt này, hãy tham khảo bài viết Thêm một đơn vị tổ chức.

Chế độ cài đặt này giúp bạn quản lý quyền truy cập quản trị viên cục bộ cho người dùng Trình cung cấp thông tin đăng nhập Google dành cho Windows (GCPW). Người dùng GCPW có thể là người dùng tiêu chuẩn hoặc quản trị viên cục bộ.

Để áp dụng các chế độ cài đặt đặc quyền này, hệ thống sẽ sử dụng Trình cung cấp dịch vụ cấu hình (CSP) LocalUsersAndGroups của Microsoft trong sự kiện đồng bộ hoá thiết bị. Khi bạn bật chế độ Quản lý quyền truy cập quản trị cục bộ vào thiết bị trong Bảng điều khiển dành cho quản trị viên của Google, CSP sẽ xử lý cấu hình để cấp đặc quyền quản trị viên cục bộ cho người dùng GCPW và người dùng, nhóm hoặc người dùng Windows cục bộ hiện có trong Active Directory mà bạn chỉ định trong trường Tài khoản có quyền truy cập quản trị cục bộ.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn sau đó Thiết bị sau đóThiết bị di động và thiết bị đầu cuối sau đóCài đặt sau đóWindows

    Bạn phải có đặc quyền của quản trị viên đối với Dịch vụ và thiết bị.

  2. Nhấp vào Cài đặt tài khoản.
  3. (Không bắt buộc) Để áp dụng chế độ cài đặt này cho một bộ phận hoặc một nhóm, hãy chọn một đơn vị tổ chức trên trình đơn bên.
  4. Trong mục Quản lý quyền quản trị cục bộ vào thiết bị, hãy chọn Đã bật trong danh sách các mục.

  5. Cách đặt đặc quyền của tài khoản cho người dùng GCPW:

    • Đối với Loại tài khoản người dùng, hãy chọn Người dùng tiêu chuẩn để chỉ định cho người dùng tài khoản tiêu chuẩn không có đặc quyền của quản trị viên.

    • Đối với Loại tài khoản người dùng, hãy chọn Quản trị viên cục bộ để chỉ định cho người dùng các đặc quyền quản trị cục bộ.

      Hạn chế trên Windows: Người dùng GCPW được cấp đặc quyền quản trị viên cục bộ trong lần đăng nhập thiết bị thứ hai. Mặc dù quá trình đồng bộ hoá thiết bị sau lần đăng nhập ban đầu sẽ thêm người dùng vào nhóm quản trị viên, nhưng thay đổi này chỉ có hiệu lực khi người dùng đăng nhập vào lần tiếp theo.

  6. (Không bắt buộc) Để cấp đặc quyền quản trị viên cục bộ cho người dùng Active Directory, nhóm Active Directory hoặc tài khoản người dùng Windows cục bộ hiện có, hãy thêm họ vào trường Tài khoản có quyền quản trị cục bộ. Hãy sử dụng các định dạng sau và phân tách nhiều giá trị bằng dấu phẩy:

    • Người dùng Active Directory: Miencuaban\nguoidung
    • Nhóm Active Directory: Miền của bạn\nhóm
    • Người dùng cục bộ: tên người dùng

    Nếu bạn cung cấp một tên tài khoản không tồn tại, thì tài khoản mới sẽ không được tạo trên thiết bị. Những tài khoản không tồn tại sẽ bị bỏ qua và những tài khoản hợp lệ còn lại sẽ được xử lý. Việc xoá tên người dùng hoặc tên nhóm khỏi trường này sẽ không xoá tên đó khỏi nhóm Quản trị viên cục bộ, nhưng những tên đã xoá sẽ không được thêm vào trong các lần đồng bộ hoá thiết bị sau này.

    Quan trọng: Bạn không nên sử dụng trường này. Trường này tồn tại để duy trì tính liên tục trong quá khứ và có thể không cần thiết.

  7. Nhấp vào Lưu. Hoặc bạn có thể nhấp vào nút Ghi đè đối với một đơn vị tổ chức.

    Sau này, để khôi phục giá trị được kế thừa, hãy nhấp vào Kế thừa.

Khắc phục sự cố

Nếu các chế độ cài đặt quản trị không được áp dụng như bạn dự định, bạn có thể xem nhật ký sự kiện quản lý thiết bị trên thiết bị Windows để biết thông tin chẩn đoán chi tiết.

  1. Mở Event Viewer (Trình xem sự kiện) trên thiết bị mục tiêu bằng cách tìm kiếm "Event Viewer" trong trình đơn Start (Bắt đầu) của Windows.
  2. Chuyển đến phần Nhật ký ứng dụng và dịch vụ sau đóMicrosoft sau đóWindows sau đóDeviceManagement-Enterprise-Diagnostics-Provider sau đóQuản trị.
  3. Xem xét các sự kiện liên quan đến CSP LocalUsersAndGroups.

Nhật ký mẫu:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Tổng quan: Tính năng bảo mật nâng cao cho máy tính trên Windows


Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.