Provider di servizi di configurazione dei criteri - RestrictedGroups
Importante
A partire da Windows 10 versione 20H2, per configurare i membri dei gruppi locali di Windows, usare i criteri LocalUsersandGroups anziché i criteri RestrictedGroups. Questi membri possono essere utenti o gruppi Microsoft Entra.
Non applicare entrambi i criteri allo stesso dispositivo, non è supportato e può produrre risultati imprevedibili.
ConfigureGroupMembership
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership
Questa impostazione di sicurezza consente a un amministratore di definire i membri di un gruppo sensibile alla sicurezza (con restrizioni). Quando viene applicato un criterio gruppi con restrizioni, tutti i membri correnti di un gruppo con restrizioni che non sono presenti nell'elenco Membri vengono rimossi. Viene aggiunto qualsiasi utente nell'elenco Membri che non è attualmente membro del gruppo con restrizioni. È possibile usare i criteri Gruppi con restrizioni per controllare l'appartenenza ai gruppi. Usando i criteri, è possibile specificare quali membri fanno parte di un gruppo. Tutti i membri non specificati nei criteri vengono rimossi durante la configurazione o l'aggiornamento. Ad esempio, è possibile creare un criterio Gruppi con restrizioni per consentire solo agli utenti specificati ,ad esempio Alice e John, di essere membri del gruppo Administrators. Quando i criteri vengono aggiornati, solo Alice e John rimarranno membri del gruppo Administrators.
Attenzione
Se viene applicato un criterio Gruppi con restrizioni, tutti i membri correnti non inclusi nell'elenco dei membri dei criteri Gruppi con restrizioni vengono rimossi. Possono essere inclusi membri predefiniti, ad esempio amministratori. I gruppi con restrizioni devono essere usati principalmente per configurare l'appartenenza ai gruppi locali nei server workstation o membri. Un elenco di membri vuoto indica che il gruppo con restrizioni non dispone di membri.
Attenzione
Non è possibile rimuovere l'account amministratore predefinito dal gruppo Administrators predefinito. Se si tenta di rimuoverlo, il comando ha esito negativo con l'errore seguente:
| Codice di errore | Nome simbolico | Descrizione errore | Intestazione |
|---|---|---|---|
0x55b (Esadecimale)1371 (Dic) |
ERROR_SPECIAL_ACCOUNT | Impossibile eseguire questa operazione negli account predefiniti. | Winerror |
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Valori consentiti:
Espandere per visualizzare l'XML dello schema
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
<xs:simpleType name="member_name">
<xs:restriction base="xs:string">
<xs:maxLength value="255" />
</xs:restriction>
</xs:simpleType>
<xs:element name="accessgroup">
<xs:complexType>
<xs:sequence>
<xs:element name="member" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group Member</xs:documentation>
</xs:annotation>
<xs:complexType>
<xs:attribute name="name" type="member_name" use="required" />
</xs:complexType>
</xs:element>
</xs:sequence>
<xs:attribute name="desc" type="member_name" use="required" />
</xs:complexType>
</xs:element>
<xs:element name="groupmembership">
<xs:complexType>
<xs:sequence>
<xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group</xs:documentation>
</xs:annotation>
</xs:element>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>
Esempio:
<groupmembership>
<accessgroup desc = "Group1">
<member name = "S-1-15-6666767-76767676767-666666777"/>
<member name = "contoso\Alice"/>
</accessgroup>
<accessgroup desc = "Group2">
<member name = "S-1-15-1233433-23423432423-234234324"/>
<member name = "contoso\Group3"/>
</accessgroup>
</groupmembership>
Descrizioni delle proprietà:
<accessgroup desc>contiene il SID del gruppo locale o il nome del gruppo da configurare. Se qui viene specificato un SID, il criterio usa l'API LookupAccountName per ottenere il nome del gruppo locale. Per ottenere risultati ottimali, usare i nomi per<accessgroup desc>.<member name>contiene i membri da aggiungere al gruppo in<accessgroup desc>. Un membro può essere specificato come nome o come SID. Per ottenere risultati ottimali, usare un SID per<member name>. Il SID membro può essere un account utente o un gruppo in Active Directory, Microsoft Entra ID o nel computer locale. Se qui viene specificato un nome, il criterio tenterà di ottenere il SID corrispondente usando l'API LookupAccountSID . Il nome può essere usato per un account utente o un gruppo in Active Directory o nel computer locale. L'appartenenza viene configurata tramite l'API NetLocalGroupSetMembers .In questo esempio e
Group1Group2sono gruppi locali nel dispositivo configurato edGroup3è un gruppo di dominio.
Nota
Attualmente, i criteri RestrictedGroups/ConfigureGroupMembership non hanno una funzionalità MemberOf. È tuttavia possibile aggiungere un gruppo di dominio come membro a un gruppo locale usando la parte relativa ai membri, come illustrato in questo esempio.
Sequenza temporale dei criteri:
Il comportamento di questa impostazione di criterio varia in diverse versioni Windows 10. Per Windows 10, versione 1809 fino alla versione 1909, è possibile usare name in <accessgroup desc> e SID in <member name>. Per Windows 10 versione 2004, è possibile usare name o SID per entrambi gli elementi, come descritto nell'esempio.
Nella tabella seguente viene descritto il comportamento di questa impostazione di criterio in diverse versioni Windows 10:
| Versione di Windows 10 | Comportamento dei criteri |
|---|---|
| Windows 10, versione 1803 | Aggiunta di questa impostazione di criterio. XML accetta il gruppo e il membro solo in base al nome. Supporta la configurazione del gruppo administrators usando il nome del gruppo. Si prevede che il nome del membro sia nel formato del nome dell'account. |
| Windows 10, versione 1809 Windows 10, versione 1903 Windows 10, versione 1909 |
Supporta la configurazione di qualsiasi gruppo locale. <accessgroup desc> accetta solo il nome. <member name> accetta un nome o un SID. Questo comportamento è utile quando si vuole assicurarsi che un determinato gruppo locale abbia sempre un SID noto come membro. |
| Windows 10, versione 2004 | Si comporta come descritto in questo articolo. Accetta il nome o il SID per il gruppo e i membri e converte in base alle esigenze. |