在 Windows 10 或 11 设备上设置账号权限

支持此功能的版本:一线员工入门版、一线员工标准版和一线员工 Plus 版;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和端点教育升级版;企业基本功能版和企业基本功能 Plus 版;Cloud Identity 专业版。  版本对比

作为管理员,您可以设置用户在其 Microsoft Windows 10 或 11 设备上可以拥有的本地管理员权限级别。例如,您可以提供受限的控制权限或完整访问权限。此权限级别会授予与用户的 Google 账号相关联的 Windows 账号,而用户的 Google 账号。

您也可以为其他现有 Windows 账号提供管理员权限。这些账号可以是设备的本地账号或 Active Directory 用户和组的账号(无论他们是否登录了设备)。

准备工作

如要授予本地管理员权限,设备必须启用 Windows 设备管理服务。

设置管理员权限

准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门

此设置可帮助您管理 Windows 版 Google 凭据提供程序 (GCPW) 用户的本地管理员访问权限。GCPW 用户可以是标准用户,也可以是本地管理员。

为了应用这些权限设置,系统会在设备同步事件期间使用 Microsoft LocalUsersAndGroups 配置服务提供商 (CSP)。在 Google 管理控制台中启用管理设备的本地管理员访问权限后,CSP 会处理配置,以向 GCPW 用户以及具有本地管理员访问权限的账号字段中指定的现有 Active Directory 用户、群组或本地 Windows 用户授予本地管理员权限。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 设备 然后移动设备和端点 然后设置 然后Windows

    需要拥有服务和设备管理员权限。

  2. 点击账号设置
  3. (可选)如要将设置应用于某个部门或团队,请在侧边选择一个组织部门
  4. 管理设备的本地管理员权限下的选项列表中选择已启用

  5. 如需为 GCPW 用户设置账号权限,请执行以下操作:

    • 对于用户账号类型,请选择标准用户,以便为用户分配无管理员权限的标准账号。

    • 对于用户账号类型,请选择本地管理员,以便为用户分配本地管理员权限。

      Windows 限制:GCPW 用户在第二次登录设备时会被授予本地管理员权限。虽然设备在用户首次登录后进行同步时会将用户添加到管理员群组,但只有在用户后续登录时,相应更改才会生效。

  6. (可选)如需向现有 Active Directory 用户、Active Directory 组或本地 Windows 用户账号授予本地管理员权限,请在具有本地管理员访问权限的账号字段中添加这些账号。请使用以下格式,并用英文逗号分隔多个值:

    • Active Directory 用户:<您的域名>\<用户>
    • Active Directory 群组:<您的域名>\<群组>
    • 本地用户:<用户名>

    如果您提供的账号名称不存在,系统不会在设备上创建新账号。系统会忽略不存在的账号,并处理其余有效账号。从相应字段中移除用户或群组名称不会将其从本地管理员群组中移除,但系统在日后的设备同步过程中不会添加已移除的名称。

    重要提示:我们建议不要使用此字段,此字段是为了保持历史连续性而存在的,不太可能需要使用。

  7. 点击保存。或者,您也可以针对组织部门点击覆盖

    如果之后要恢复继承的值,请点击继承

问题排查

如果管理设置未按预期应用,您可以在 Windows 设备上查看设备管理事件日志,获取详细的诊断信息。

  1. 在目标设备上,通过在 Windows“开始”菜单中搜索“事件查看器”来打开事件查看器
  2. 依次前往应用程序和服务日志 然后Microsoft 然后Windows 然后DeviceManagement-Enterprise-Diagnostics-Provider 然后管理员
  3. 查看与 CSP LocalUsersAndGroups 相关的事件。

日志示例:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

概览:增强的 Windows 桌面设备安全性功能


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。