CSP de Política - RestrictedGroups
Importante
A partir de Windows 10, versão 20H2, para configurar membros de grupos locais do Windows, utilize a política LocalUsersandGroups em vez da política RestrictedGroups. Estes membros podem ser utilizadores ou grupos Microsoft Entra.
Não aplique ambas as políticas ao mesmo dispositivo, não é suportada e pode produzir resultados imprevisíveis.
ConfigurarGroupMembership
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership
Esta definição de segurança permite que um administrador defina os membros de um grupo sensível à segurança (restrito). Quando uma Política de Grupos Restritos é imposta, qualquer membro atual de um grupo restrito que não esteja na lista de Membros é removido. É adicionado qualquer utilizador na lista membros que não seja atualmente membro do grupo restrito. Pode utilizar a política grupos restritos para controlar a associação a grupos. Ao utilizar a política, pode especificar os membros que fazem parte de um grupo. Todos os membros que não forem especificados na política são removidos durante a configuração ou atualização. Por exemplo, pode criar uma política de Grupos Restritos para permitir que apenas os utilizadores especificados (por exemplo, Alice e João) sejam membros do grupo Administradores. Quando a política é atualizada, apenas Alice e João permanecerão como membros do grupo Administradores.
Cuidado
Se for aplicada uma política de Grupos Restritos, qualquer membro atual que não esteja na lista de membros da política grupos restritos será removido. Isto pode incluir membros predefinidos, como administradores. Os Grupos Restritos devem ser utilizados principalmente para configurar a associação de grupos locais em servidores de estação de trabalho ou membros. Uma lista de Membros vazia significa que o grupo restrito não tem membros.
Cuidado
Não pode remover a conta de Administrador incorporada do grupo Administradores incorporado. Se tentar removê-lo, o comando falha com o seguinte erro:
| Código de Erro | Nome Simbólico | Descrição do erro | Cabeçalho |
|---|---|---|---|
0x55b (Hex)1371 (Dez) |
ERROR_SPECIAL_ACCOUNT | Não é possível executar esta operação em contas incorporadas. | winerror.h |
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valores Permitidos:
Expandir para ver o XML de esquema
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
<xs:simpleType name="member_name">
<xs:restriction base="xs:string">
<xs:maxLength value="255" />
</xs:restriction>
</xs:simpleType>
<xs:element name="accessgroup">
<xs:complexType>
<xs:sequence>
<xs:element name="member" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group Member</xs:documentation>
</xs:annotation>
<xs:complexType>
<xs:attribute name="name" type="member_name" use="required" />
</xs:complexType>
</xs:element>
</xs:sequence>
<xs:attribute name="desc" type="member_name" use="required" />
</xs:complexType>
</xs:element>
<xs:element name="groupmembership">
<xs:complexType>
<xs:sequence>
<xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group</xs:documentation>
</xs:annotation>
</xs:element>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>
Exemplo:
<groupmembership>
<accessgroup desc = "Group1">
<member name = "S-1-15-6666767-76767676767-666666777"/>
<member name = "contoso\Alice"/>
</accessgroup>
<accessgroup desc = "Group2">
<member name = "S-1-15-1233433-23423432423-234234324"/>
<member name = "contoso\Group3"/>
</accessgroup>
</groupmembership>
Descrições das propriedades:
<accessgroup desc>contém o SID do grupo local ou o nome do grupo a configurar. Se for especificado um SID aqui, a política utiliza a API LookupAccountName para obter o nome do grupo local. Para obter os melhores resultados, utilize os nomes para<accessgroup desc>.<member name>contém os membros a adicionar ao grupo em<accessgroup desc>. Um membro pode ser especificado como um nome ou como um SID. Para obter os melhores resultados, utilize um SID para<member name>. O SID do membro pode ser uma conta de utilizador ou um grupo no Active Directory, Microsoft Entra ID ou no computador local. Se for especificado um nome aqui, a política tentará obter o SID correspondente com a API LookupAccountSID . O nome pode ser utilizado para uma conta de utilizador ou um grupo no Active Directory ou no computador local. A associação é configurada com a API NetLocalGroupSetMembers .Neste exemplo,
Group1Group2e são grupos locais no dispositivo que está a ser configurado eGroup3é um grupo de domínio.
Observação
Atualmente, a política RestrictedGroups/ConfigureGroupMembership não tem uma funcionalidade MemberOf. No entanto, pode adicionar um grupo de domínio como membro a um grupo local através da parte do membro, conforme mostrado neste exemplo.
Linha do tempo de políticas:
O comportamento desta definição de política difere em diferentes versões Windows 10. Para Windows 10, versão 1809 até à versão 1909, pode utilizar o nome no <accessgroup desc> e o SID no <member name>. Para Windows 10, versão 2004, pode utilizar o nome ou SID para ambos os elementos, conforme descrito no exemplo.
A tabela seguinte descreve como esta definição de política se comporta em diferentes versões Windows 10:
| Versão do Windows 10 | Comportamento da política |
|---|---|
| Windows 10, versão 1803 | Foi adicionada esta definição de política. XML aceita grupo e membro apenas pelo nome. Suporta a configuração do grupo de administradores com o nome do grupo. Espera que o nome do membro esteja no formato de nome de conta. |
| Windows 10, versão 1809 Windows 10, versão 1903 Windows 10, versão 1909 |
Suporta a configuração de qualquer grupo local. <accessgroup desc> aceita apenas o nome. <member name> aceita um nome ou um SID. Este comportamento é útil quando quer garantir que um determinado grupo local tem sempre um SID conhecido como membro. |
| Windows 10, versão 2004 | Comporta-se conforme descrito neste artigo. Aceita o nome ou SID para o grupo e membros e traduz-se conforme adequado. |