在 Windows 10 或 11 裝置上設定帳戶權限

支援這項功能的版本:Frontline Starter、Frontline Standard 和 Frontline Plus;Business Plus;Enterprise Standard 和 Enterprise Plus;Education Standard、Education Plus 和 Endpoint Education Upgrade;Enterprise Essentials 和 Enterprise Essentials Plus;Cloud Identity 進階版。  版本比較

管理員可以決定使用者在 Microsoft Windows 10 或 11 裝置上具備的本機系統管理權限層級。舉例來說,您可以讓使用者只得到部分控制權,或是為他們提供完整權限。這種權限層級授予的對象為與使用者 Google 帳戶相關聯的 Windows 帳戶,而不是使用者的 Google 帳戶本身。

您也可以為其他現有的 Windows 帳戶提供系統管理權限,比如裝置上的本機帳戶,或是 Active Directory 使用者和群組的帳戶。即使是裝置尚未登入的帳戶,您也可以先行設定。

事前準備

如要授予本機管理員權限,請務必先在相關裝置上啟用 Windows 裝置管理服務。

設定管理員權限

事前準備:如要為部門或團隊套用這項設定,請參閱「新增機構單位」。

這項設定可協助您管理 Google 憑證提供者 Windows 版 (GCPW) 使用者的本機管理存取權。GCPW 使用者可以是標準使用者或本機管理員。

如要套用這些權限設定,系統會在裝置同步處理事件期間使用 Microsoft LocalUsersAndGroups 設定服務供應商 (CSP)。在 Google 管理控制台中開啟「管理裝置的本機管理員存取權」後,CSP 會處理設定,將本機管理員權限授予 GCPW 使用者,以及「具備本機管理員存取權的帳戶」欄位中指定的現有 Active Directory 使用者、群組或本機 Windows 使用者。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「裝置」接下來「行動裝置和端點」接下來「設定」接下來「Windows」

    必須具備服務和裝置管理員權限。

  2. 按一下 [帳戶設定]。
  3. (選用) 如要為特定部門或團隊套用設定,請選取側邊的「機構單位」
  4. 在「管理裝置的本機管理員權限」下方,從項目清單中選取「已啟用」

  5. 如要設定 GCPW 使用者的帳戶權限,請按照下列步驟操作:

    • 在「使用者帳戶類型」中,選取「標準使用者」,將不具備管理員權限的標準帳戶指派給使用者。

    • 在「使用者帳戶類型」中,選取「本機管理員」,將本機管理員權限指派給使用者。

      Windows 限制:GCPW 使用者會在第二次登入裝置時取得本機管理員權限。雖然裝置會在使用者首次登入後同步處理,並將使用者加入管理員群組,但這項變更只會在使用者下次登入時生效。

  6. (選用) 如要將本機管理員權限授予現有的 Active Directory 使用者、Active Directory 群組或本機 Windows 使用者帳戶,請在「具備本機管理員存取權的帳戶」欄位中新增這些帳戶。請使用下列格式,並以半形逗號分隔不同的值:

    • Active Directory 使用者:<您的網域>\<使用者>
    • Active Directory 群組:<您的網域>\<群組>
    • 本機使用者使用者名稱

    如果您提供的帳戶名稱不存在,裝置就不會建立新帳戶。系統會忽略不存在的帳戶,並處理其餘有效帳戶。從欄位中移除使用者或群組名稱,不會將其從本機管理員群組中移除,但系統日後同步處理裝置時,不會新增已移除的名稱。

    重要事項:建議不要使用這個欄位,這個欄位是為了維持歷史連續性而存在,不太可能需要使用。

  7. 按一下「儲存」。如果是機構單位,您也可以按一下「覆寫」

    如要日後還原沿用的值,請按一下「沿用」

疑難排解

如果系統未套用您想要的管理設定,您可以查看 Windows 裝置上的裝置管理事件記錄,取得詳細的診斷資訊。

  1. 在目標裝置上開啟「事件檢視器」:在 Windows「開始」選單中搜尋「事件檢視器」。
  2. 依序前往「應用程式及服務記錄檔」 接下來「Microsoft」 接下來「Windows」 接下來「DeviceManagement-Enterprise-Diagnostics-Provider」 接下來「Admin」
  3. 查看與 CSP LocalUsersAndGroups 相關的事件。

記錄範例:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

總覽:Windows 專用的進階電腦安全性服務


Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。