Freigeben über


Richtlinien-CSP – RestrictedGroups

Wichtig

Ab Windows 10 Version 20H2 verwenden Sie zum Konfigurieren von Mitgliedern lokaler Windows-Gruppen die Richtlinie LocalUser undGroups anstelle der Richtlinie RestrictedGroups. Diese Mitglieder können Benutzer oder Microsoft Entra Gruppen sein.

Wenden Sie nicht beide Richtlinien auf dasselbe Gerät an. Dies wird nicht unterstützt und kann zu unvorhersehbaren Ergebnissen führen.

ConfigureGroupMembership

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1803 [10.0.17134] und höher
./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership

Diese Sicherheitseinstellung ermöglicht es einem Administrator, die Mitglieder einer sicherheitsrelevanten (eingeschränkten) Gruppe zu definieren. Wenn eine Richtlinie für eingeschränkte Gruppen erzwungen wird, wird jedes aktuelle Mitglied einer eingeschränkten Gruppe, die nicht in der Liste Mitglieder enthalten ist, entfernt. Alle Benutzer in der Liste Mitglieder, die derzeit kein Mitglied der eingeschränkten Gruppe sind, werden hinzugefügt. Sie können die Richtlinie für eingeschränkte Gruppen verwenden, um die Gruppenmitgliedschaft zu steuern. Mithilfe der Richtlinie können Sie angeben, welche Mitglieder Teil einer Gruppe sind. Alle Elemente, die in der Richtlinie nicht angegeben sind, werden während der Konfiguration oder Aktualisierung entfernt. Sie können beispielsweise eine Richtlinie für eingeschränkte Gruppen erstellen, damit nur bestimmte Benutzer (z. B. Alice und John) Mitglieder der Gruppe Administratoren sein dürfen. Wenn die Richtlinie aktualisiert wird, verbleiben nur Alice und John als Mitglieder der Gruppe "Administratoren".

Achtung

Wenn eine Richtlinie für eingeschränkte Gruppen angewendet wird, werden alle aktuellen Mitglieder entfernt, die nicht in der Liste der Mitglieder der Richtlinie für eingeschränkte Gruppen enthalten sind. Dies kann Standardmitglieder umfassen, z. B. Administratoren. Eingeschränkte Gruppen sollten in erster Linie verwendet werden, um die Mitgliedschaft in lokalen Gruppen auf Arbeitsstations- oder Mitgliedsservern zu konfigurieren. Eine leere Mitgliederliste bedeutet, dass die eingeschränkte Gruppe keine Mitglieder enthält.

Achtung

Sie können das integrierte Administratorkonto nicht aus der integrierten Administratorgruppe entfernen. Wenn Sie versuchen, ihn zu entfernen, schlägt der Befehl mit dem folgenden Fehler fehl:

Fehlercode Symbolischer Name Fehlerbeschreibung Kopfzeile
0x55b (Hex)
1371 (Dez)
ERROR_SPECIAL_ACCOUNT Dieser Vorgang kann für integrierte Konten nicht ausgeführt werden. winerror.h

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Zulässige Werte:


Erweitern, um Schema-XML anzuzeigen
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
  <xs:simpleType name="member_name">
    <xs:restriction base="xs:string">
      <xs:maxLength value="255" />
    </xs:restriction>
  </xs:simpleType>
  <xs:element name="accessgroup">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="member" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Restricted Group Member</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="name" type="member_name" use="required" />
          </xs:complexType>
        </xs:element>
      </xs:sequence>
      <xs:attribute name="desc" type="member_name" use="required" />
    </xs:complexType>
  </xs:element>
  <xs:element name="groupmembership">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Restricted Group</xs:documentation>
          </xs:annotation>
        </xs:element>
      </xs:sequence>
    </xs:complexType>
  </xs:element>
</xs:schema>

Beispiel:

<groupmembership>
    <accessgroup desc = "Group1">
        <member name = "S-1-15-6666767-76767676767-666666777"/>
        <member name = "contoso\Alice"/>
    </accessgroup>
    <accessgroup desc = "Group2">
        <member name = "S-1-15-1233433-23423432423-234234324"/>
        <member name = "contoso\Group3"/>
    </accessgroup>
</groupmembership>

Beschreibungen der Eigenschaften:

  • <accessgroup desc> enthält die zu konfigurierende lokale Gruppen-SID oder den Gruppennamen. Wenn hier eine SID angegeben wird, verwendet die Richtlinie die LookupAccountName-API , um den Namen der lokalen Gruppe abzurufen. Um optimale Ergebnisse zu erzielen, verwenden Sie Namen für <accessgroup desc>.

  • <member name> enthält die Mitglieder, die der Gruppe in <accessgroup desc>hinzugefügt werden sollen. Ein Member kann als Name oder als SID angegeben werden. Verwenden Sie eine SID für , um <member name>optimale Ergebnisse zu erzielen. Die Mitglieds-SID kann ein Benutzerkonto oder eine Gruppe in Active Directory, Microsoft Entra ID oder auf dem lokalen Computer sein. Wenn hier ein Name angegeben wird, versucht die Richtlinie, die entsprechende SID mithilfe der LookupAccountSID-API abzurufen. Name kann für ein Benutzerkonto oder eine Gruppe in Active Directory oder auf dem lokalen Computer verwendet werden. Die Mitgliedschaft wird mithilfe der NetLocalGroupSetMembers-API konfiguriert.

  • In diesem Beispiel Group1 sind und Group2 lokale Gruppen auf dem zu konfigurierenden Gerät und Group3 eine Domänengruppe.

Hinweis

Derzeit verfügt die Richtlinie RestrictedGroups/ConfigureGroupMembership nicht über eine MemberOf-Funktionalität. Sie können jedoch eine Domänengruppe als Mitglied zu einer lokalen Gruppe hinzufügen, indem Sie den Mitgliedsteil verwenden, wie in diesem Beispiel gezeigt.

Richtlinien-Zeitleiste:

Das Verhalten dieser Richtlinieneinstellung unterscheidet sich in verschiedenen Windows 10 Versionen. Für Windows 10, Version 1809 bis Version 1909 können Sie name in <accessgroup desc> und SID in <member name>verwenden. Für Windows 10 Version 2004 können Sie name oder SID für beide Elemente verwenden, wie im Beispiel beschrieben.

In der folgenden Tabelle wird beschrieben, wie sich diese Richtlinieneinstellung in verschiedenen Windows 10 Versionen verhält:

Windows 10-Version Richtlinienverhalten
Windows 10, Version 1803 Diese Richtlinieneinstellung wurde hinzugefügt.
XML akzeptiert Gruppen und Member nur anhand des Namens.
Unterstützt die Konfiguration der Administratorgruppe mithilfe des Gruppennamens.
Es wird erwartet, dass der Mitgliedsname im Kontonamenformat vorliegt.
Windows 10, Version 1809
Windows 10, Version 1903
Windows 10, Version 1909
Unterstützt die Konfiguration einer beliebigen lokalen Gruppe.
<accessgroup desc> akzeptiert nur Name.
<member name> akzeptiert einen Namen oder eine SID.
Dieses Verhalten ist nützlich, wenn Sie sicherstellen möchten, dass eine bestimmte lokale Gruppe immer über eine bekannte SID als Mitglied verfügt.
Windows 10, Version 2004 Verhält sich wie in diesem Artikel beschrieben.
Akzeptiert den Namen oder die SID für Gruppen und Mitglieder und wird entsprechend übersetzt.

Dienstanbieter für die Richtlinienkonfiguration