Freigeben über


Richtlinien-CSP – LocalUsersAndGroups

Konfigurieren

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 20H2 [10.0.19042] und höher
./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure

Diese Einstellung ermöglicht es einem Administrator, lokale Gruppen auf einem Gerät zu verwalten. Mögliche Einstellungen:

  1. Gruppenmitgliedschaft aktualisieren: Aktualisieren Einer Gruppe und Hinzufügen und/oder Entfernen von Mitgliedern über die Aktion "U". Wenn Sie Update verwenden, bleiben vorhandene Gruppenmitglieder, die nicht in der Richtlinie angegeben sind, unverändert.
  2. Gruppenmitgliedschaft ersetzen: Schränken Sie eine Gruppe ein, indem Sie die Gruppenmitgliedschaft durch die Aktion "R" ersetzen. Wenn Sie Ersetzen verwenden, wird die vorhandene Gruppenmitgliedschaft durch die Liste der Mitglieder ersetzt, die im Abschnitt "Mitglied hinzufügen" angegeben sind. Diese Option funktioniert auf die gleiche Weise wie eine eingeschränkte Gruppe, und alle Gruppenmitglieder, die nicht in der Richtlinie angegeben sind, werden entfernt.

Achtung

Wenn dieselbe Gruppe sowohl mit Ersetzen als auch mit Update konfiguriert ist, gewinnt Replace.

Hinweis

Mit der Richtlinieneinstellung RestrictedGroups/ConfigureGroupMembership können Sie auch Mitglieder (Benutzer oder Microsoft Entra-Gruppen) für eine lokale Windows 10-Gruppe konfigurieren. Es ermöglicht jedoch nur ein vollständiges Ersetzen der vorhandenen Gruppen durch die neuen Mitglieder und lässt das selektive Hinzufügen oder Entfernen nicht zu.

Ab Windows 10, Version 20H2, wird empfohlen, die LocalUsersAndGroups-Richtlinie anstelle der Richtlinie RestrictedGroups zu verwenden. Das Anwenden beider Richtlinien auf dasselbe Gerät wird nicht unterstützt und kann zu unvorhersehbaren Ergebnissen führen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Zulässige Werte:


Erweitern, um Schema-XML anzuzeigen
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
  <xs:simpleType name="name">
    <xs:restriction base="xs:string">
      <xs:maxLength value="255" />
    </xs:restriction>
  </xs:simpleType>
  <xs:element name="accessgroup">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="group" minOccurs="1" maxOccurs="1">
          <xs:annotation>
            <xs:documentation>Group Configuration Action</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="action" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="add" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group Member to Add</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="member" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="remove" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group Member to Remove</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="member" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="property" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group property to configure</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="desc" type="name" use="required" />
            <xs:attribute name="value" type="name" use="required" />
          </xs:complexType>
        </xs:element>
      </xs:sequence>
      <xs:attribute name="desc" type="name" use="required" />
    </xs:complexType>
  </xs:element>
  <xs:element name="GroupConfiguration">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Local Group Configuration</xs:documentation>
          </xs:annotation>
        </xs:element>
      </xs:sequence>
    </xs:complexType>
  </xs:element>
</xs:schema>

Beispiele:

Hier sehen Sie ein Beispiel für die Richtliniendefinitions-XML für die Gruppenkonfiguration:

<GroupConfiguration>
    <accessgroup desc = "">
        <group action = ""/>
            <add member = ""/>
            <remove member = ""/>
    </accessgroup>
</GroupConfiguration>

Dabei gilt Folgendes:

  • <accessgroup desc>: Gibt den Namen oder die SID der zu konfigurierenden lokalen Gruppe an. Wenn Sie eine SID angeben, wird die LookupAccountSid-API verwendet, um die SID in einen gültigen Gruppennamen zu übersetzen. Wenn Sie einen Namen angeben, wird die LookupAccountName-API verwendet, um die Gruppe nachzuschlagen und den Namen zu überprüfen. Wenn die Name-/SID-Suche fehlschlägt, wird die Gruppe übersprungen, und die nächste Gruppe in der XML-Datei wird verarbeitet. Wenn mehrere Fehler auftreten, wird der letzte Fehler am Ende der Richtlinienverarbeitung zurückgegeben.

  • <group action>: Gibt die Aktion an, die für die lokale Gruppe ausgeführt werden soll, die update und restrict sein kann, dargestellt durch Sie und R:

    • Update. Diese Aktion muss verwendet werden, um die aktuelle Gruppenmitgliedschaft intakt zu halten und Mitglieder der jeweiligen Gruppe hinzuzufügen oder zu entfernen.
    • Einschränken. Diese Aktion muss verwendet werden, um die aktuelle Mitgliedschaft durch die neu angegebenen Gruppen zu ersetzen. Diese Aktion bietet die gleiche Funktionalität wie die Richtlinieneinstellung RestrictedGroups/ConfigureGroupMembership .
  • <add member>: Gibt die SID oder den Namen des zu konfigurierenden Members an.

  • <remove member>: Gibt die SID oder den Namen des Elements an, das aus der angegebenen Gruppe entfernt werden soll.

    Hinweis

    Beim Angeben von Mitgliedsnamen der Benutzerkonten müssen Sie das folgende Format verwenden: AzureAD\userUPN. Beispiel: "AzureAD\user1@contoso.com" oder "AzureAD\user2@contoso.co.uk". Zum Hinzufügen von Microsoft Entra-Gruppen müssen Sie die Microsoft Entra-Gruppen-SID angeben. Microsoft Entra-Gruppennamen werden von dieser Richtlinie nicht unterstützt. Weitere Informationen finden Sie unter LookupAccountNameA-Funktion.

Informationen zum Erstellen benutzerdefinierter Profile finden Sie unter Verwenden benutzerdefinierter Einstellungen für Windows 10-Geräte in Intune .

Wichtig

  • <add member> und <remove member> können eine Microsoft Entra-SID oder den Namen des Benutzers verwenden. Zum Hinzufügen oder Entfernen von Microsoft Entra-Gruppen mithilfe dieser Richtlinie müssen Sie die SID der Gruppe verwenden. Microsoft Entra-Gruppen-SIDs können mithilfe der Graph-API für Gruppen abgerufen werden. Die SID ist im securityIdentifier -Attribut vorhanden.
  • Wenn Sie eine SID in oder <add member><remove member>angeben, werden Member-SIDs hinzugefügt, ohne sie aufzulösen. Seien Sie daher sehr vorsichtig, wenn Sie eine SID angeben, um sicherzustellen, dass sie korrekt ist.
  • <remove member> ist für die R-Aktion (Einschränken) ungültig und wird ignoriert, falls vorhanden.
  • Die Liste im XML-Code wird in der angegebenen Reihenfolge verarbeitet, mit Ausnahme der R-Aktionen, die zuletzt verarbeitet werden, um sicherzustellen, dass sie gewinnen. Dies bedeutet auch, dass, wenn eine Gruppe mehrmals mit unterschiedlichen Add-/Remove-Werten vorhanden ist, alle in der Reihenfolge verarbeitet werden, in der sie vorhanden sind.

Beispiel 1: Microsoft Entra ID mit Fokus.

Im folgenden Beispiel wird die integrierte Administratorgruppe mit der SID S-1-5-21-222222222-33333333333-44444444444-500 mit einem Microsoft Entra-Konto "bob@contoso.com" und einem Microsoft Entra-Gruppe mit der SID S-1-12-1-11111111-2222222222-33333333333-4444444444 auf einem in Microsoft Entra eingebundenen Computer.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "U" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
    </accessgroup>
</GroupConfiguration>

Beispiel 2: Ersetzen/Einschränken der integrierten Administratorgruppe durch ein Microsoft Entra-Benutzerkonto.

Hinweis

Wenn Sie die Option "R" zum Ersetzen der integrierten Administratorengruppe mit der SID S-1-5-21-222222222-33333333333-444444444-500 verwenden, sollten Sie den Administrator immer als Mitglied und alle anderen benutzerdefinierten Mitglieder angeben. Dies ist erforderlich, da der integrierte Administrator immer Mitglied der Administratorgruppe sein muss.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "R" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "Administrator"/>
    </accessgroup>
</GroupConfiguration>

Beispiel 3: Aktualisieren der Aktion zum Hinzufügen und Entfernen von Gruppenmitgliedern auf einem hybrid eingebundenen Computer.

Das folgende Beispiel zeigt, wie Sie eine lokale Gruppe (Administratoren mit der SID S-1-5-21-22222222-333333333333-444444444444-500) aktualisieren und eine AD-Domänengruppe unter Verwendung ihres Namens hinzufügen (Contoso\ITAdmin) fügen Sie eine Microsoft Entra-Gruppe anhand ihrer SID (S-1-12-1-1111111111-2222222222-333333333333-4444444444) hinzu, und entfernen Sie ein lokales Konto (Gast), falls vorhanden.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "U" />
        <add member = "Contoso\ITAdmins"/>
        <add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
        <remove member = "Guest"/>
    </accessgroup>
</GroupConfiguration>

Hinweis

Wenn Microsoft Entra-Gruppen-SIDs lokalen Gruppen hinzugefügt werden, werden die Anmeldeberechtigungen für das Microsoft Entra-Konto nur für die folgenden bekannten Gruppen auf einem Windows 10-Gerät ausgewertet:

  • Administratoren
  • Users
  • Gäste
  • PowerUser
  • Remotedesktopbenutzer
  • Remoteverwaltungsbenutzer

Häufig gestellte Fragen

Dieser Abschnitt enthält Antworten auf einige häufig gestellte Fragen zum LocalUsersAndGroups-Richtlinien-CSP.

Was geschieht, wenn ich versehentlich die integrierte Administrator-SID aus der Gruppe "Administratoren" entferne?

Das Entfernen des integrierten Administratorkontos aus der integrierten Administratorgruppe wird aus Sicherheitsgründen auf SAM/OS-Ebene blockiert. Der Versuch, dies zu tun, führt zu einem Fehler mit dem folgenden Fehler:

Fehlercode Symbolischer Name Fehlerbeschreibung Kopfzeile
0x55b (Hex)
1371 (Dez)
ERROR_SPECIAL_ACCOUNT Dieser Vorgang kann für integrierte Konten nicht ausgeführt werden. winerror.h

Wenn Sie die integrierte Gruppe Administratoren mit der Aktion R (Einschränken) konfigurieren, geben Sie die integrierte Administratorkonto-SID/den Namen in <add member> an, um diesen Fehler zu vermeiden.

Kann ich ein Bereits vorhandenes Mitglied hinzufügen?

Ja, Sie können ein Mitglied hinzufügen, das bereits Mitglied einer Gruppe ist. Dies führt zu keinen Änderungen an der Gruppe und zu keinem Fehler.

Kann ich ein Mitglied entfernen, wenn es kein Mitglied der Gruppe ist?

Ja, Sie können ein Mitglied auch dann entfernen, wenn es kein Mitglied der Gruppe ist. Dies führt zu keinen Änderungen an der Gruppe und zu keinem Fehler.

Wie kann ich einer lokalen Gruppe eine Domänengruppe als Mitglied hinzufügen?

Um einer lokalen Gruppe eine Domänengruppe als Mitglied hinzuzufügen, geben Sie die Domänengruppe in <add member> der lokalen Gruppe an. Verwenden Sie vollqualifizierte Kontonamen (z. B. domain_name\group_name) anstelle isolierter Namen (z. B. group_name), um optimale Ergebnisse zu erzielen. Weitere Informationen finden Sie unter LookupAccountNameA-Funktion .

Kann ich mehr als eine LocalUserAndGroups-Richtlinie/XML auf dasselbe Gerät anwenden?

Nein, dies ist nicht zulässig. Wenn Sie dies versuchen, führt dies zu einem Konflikt in Intune.

Was geschieht, wenn ich einen Gruppennamen an gebe, der nicht vorhanden ist?

Ungültige Gruppennamen oder SIDs werden übersprungen. Gültige Teile der Richtlinie werden angewendet, und am Ende der Verarbeitung wird ein Fehler zurückgegeben. Dieses Verhalten entspricht der lokalen AD GPP-Richtlinie (Gruppenrichtlinieneinstellungen) LocalUsersAndGroups. Ebenso werden ungültige Membernamen übersprungen, und am Ende wird ein Fehler zurückgegeben, um zu benachrichtigen, dass nicht alle Einstellungen erfolgreich angewendet wurden.

Was geschieht, wenn ich R und U im gleichen XML-Code anspeziere?

Wenn Sie sowohl R als auch U im gleichen XML-Code angeben, hat die R-Aktion (Einschränken) Vorrang vor U (Update). Wenn also eine Gruppe zweimal im XML-Code angezeigt wird, einmal bei Ihnen und erneut mit R, gewinnt die R-Aktion.

Wie überprüfe ich das Ergebnis einer Richtlinie, die auf dem Clientgerät angewendet wird?

Nachdem eine Richtlinie auf das Clientgerät angewendet wurde, können Sie das Ereignisprotokoll untersuchen, um das Ergebnis zu überprüfen:

  1. Öffnen Sie die Ereignisanzeige (eventvwr.exe).
  2. Navigieren Sie zu Anwendungs- und Dienstprotokolle>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Admin.
  3. Suchen Sie nach der LocalUsersAndGroups Zeichenfolge, um die relevanten Details zu überprüfen.

Wie kann ich Probleme mit Namen-/SID-Lookup-APIs beheben?

Gehen Sie wie folgt vor, um Probleme mit Namen-/SID-Lookup-APIs zu beheben:

  1. Aktivieren Sie lsp.log auf dem Clientgerät, indem Sie die folgenden Befehle ausführen:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -Force
    

    Die lsp.log-Datei (C:\windows\debug\lsp.log) wird angezeigt. Diese Protokolldatei verfolgt die SID-Name Auflösung nach.

  2. Deaktivieren Sie die Protokollierung, indem Sie den folgenden Befehl ausführen:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force
    

Dienstanbieter für die Richtlinienkonfiguration