Partilhar via


CSP de Política - LocalUsersAndGroups

Configurar

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 20H2 [10.0.19042] e posterior
./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure

Esta Definição permite que um administrador faça a gestão de grupos locais num Dispositivo. Definições possíveis:

  1. Atualizar Associação a Grupos: atualize um grupo e adicione e/ou remova membros através da ação "U". Ao utilizar a opção Atualizar, os membros do grupo existentes que não estão especificados na política permanecem inalterados.
  2. Substituir Associação a Grupos: restrinja um grupo ao substituir a associação ao grupo através da ação "R". Ao utilizar Substituir, a associação a grupos existentes é substituída pela lista de membros especificada na secção adicionar membro. Esta opção funciona da mesma forma que um Grupo Restrito e todos os membros do grupo que não estejam especificados na política são removidos.

Cuidado

Se o mesmo grupo estiver configurado com Substituir e Atualizar, a opção Substituir ganhará.

Observação

A definição de política RestrictedGroups/ConfigureGroupMembership também lhe permite configurar membros (utilizadores ou grupos do Microsoft Entra) para um grupo local do Windows 10. No entanto, permite apenas uma substituição completa dos grupos existentes pelos novos membros e não permite a adição ou remoção seletiva.

A partir do Windows 10, versão 20H2, é recomendado utilizar a política LocalUsersAndGroups em vez da política RestrictedGroups. A aplicação de ambas as políticas ao mesmo dispositivo não é suportada e pode produzir resultados imprevisíveis.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Valores Permitidos:


Expandir para ver o XML de esquema
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
  <xs:simpleType name="name">
    <xs:restriction base="xs:string">
      <xs:maxLength value="255" />
    </xs:restriction>
  </xs:simpleType>
  <xs:element name="accessgroup">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="group" minOccurs="1" maxOccurs="1">
          <xs:annotation>
            <xs:documentation>Group Configuration Action</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="action" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="add" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group Member to Add</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="member" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="remove" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group Member to Remove</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="member" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="property" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group property to configure</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="desc" type="name" use="required" />
            <xs:attribute name="value" type="name" use="required" />
          </xs:complexType>
        </xs:element>
      </xs:sequence>
      <xs:attribute name="desc" type="name" use="required" />
    </xs:complexType>
  </xs:element>
  <xs:element name="GroupConfiguration">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Local Group Configuration</xs:documentation>
          </xs:annotation>
        </xs:element>
      </xs:sequence>
    </xs:complexType>
  </xs:element>
</xs:schema>

Exemplos:

Eis um exemplo da definição de política XML para a configuração do grupo:

<GroupConfiguration>
    <accessgroup desc = "">
        <group action = ""/>
            <add member = ""/>
            <remove member = ""/>
    </accessgroup>
</GroupConfiguration>

onde:

  • <accessgroup desc>: especifica o nome ou SID do grupo local a configurar. Se especificar um SID, a API LookupAccountSid é utilizada para traduzir o SID para um nome de grupo válido. Se especificar um nome, a API LookupAccountName é utilizada para pesquisar o grupo e validar o nome. Se a pesquisa de nome/SID falhar, o grupo é ignorado e o grupo seguinte no ficheiro XML é processado. Se existirem vários erros, o último erro é devolvido no final do processamento da política.

  • <group action>: especifica a ação a tomar no grupo local, que pode ser Atualizar e Restringir, representada por si e por R:

    • Update. Esta ação tem de ser utilizada para manter intacta a associação ao grupo atual e adicionar ou remover membros do grupo específico.
    • Restringir. Esta ação tem de ser utilizada para substituir a associação atual pelos grupos especificados recentemente. Esta ação fornece a mesma funcionalidade que a definição de política RestrictedGroups/ConfigureGroupMembership .
  • <add member>: especifica o SID ou o nome do membro a configurar.

  • <remove member>: especifica o SID ou o nome do membro a remover do grupo especificado.

    Observação

    Ao especificar os nomes dos membros das contas de utilizador, tem de utilizar o seguinte formato – AzureAD\userUPN. Por exemplo, "AzureAD\user1@contoso.com" ou "AzureAD\user2@contoso.co.uk". Para adicionar grupos do Microsoft Entra, tem de especificar o SID do grupo Microsoft Entra. Os nomes dos grupos do Microsoft Entra não são suportados com esta política. Para obter mais informações, veja Função LookupAccountNameA.

Consulte Utilizar definições personalizadas para dispositivos Windows 10 no Intune para obter informações sobre como criar perfis personalizados.

Importante

  • <add member> e <remove member> pode utilizar um SID do Microsoft Entra ou o nome do utilizador. Para adicionar ou remover grupos do Microsoft Entra através desta política, tem de utilizar o SID do grupo. Os SIDs do grupo Microsoft Entra podem ser obtidos com a Graph API para Grupos. O SID está presente no securityIdentifier atributo .
  • Ao especificar um SID nos <add member> SIDs de membro ou <remove member>, são adicionados sem tentar resolvê-los. Por conseguinte, tenha muito cuidado ao especificar um SID para garantir que está correto.
  • <remove member> não é válido para a ação R (Restringir) e será ignorado se estiver presente.
  • A lista no XML é processada pela ordem especificada, exceto pelas ações R, que são processadas em último lugar para garantir que ganham. Também significa que, se um grupo estiver presente várias vezes com valores de adição/remoção diferentes, todos eles serão processados pela ordem em que estão presentes.

Exemplo 1: ID do Microsoft Entra focado.

O exemplo seguinte atualiza o grupo de administradores incorporados com o SID S-1-5-21-2222222222-33333333333-4444444444-500 com uma conta Microsoft Entra "bob@contoso.com" e um grupo do Microsoft Entra com o SID S-1-12-1-1111111111-2222222222-333333333-44444444444 num computador associado à Microsoft Entra.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "U" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
    </accessgroup>
</GroupConfiguration>

Exemplo 2: Substituir/Restringir o grupo de administradores incorporados por uma conta de utilizador do Microsoft Entra.

Observação

Ao utilizar a opção de substituição "R" para configurar o grupo Administradores incorporado com o SID S-1-5-21-2222222222-3333333333-4444444444-500 , deve sempre especificar o administrador como membro e outros membros personalizados. Isto é necessário porque o administrador incorporado tem de ser sempre um membro do grupo de administradores.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "R" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "Administrator"/>
    </accessgroup>
</GroupConfiguration>

Exemplo 3: atualize a ação para adicionar e remover membros do grupo num computador associado híbrido.

O exemplo seguinte mostra como pode atualizar um grupo local (Administradores com o SID S-1-5-21-2222222222-333333333-4444444444-500)— adicionar um grupo de domínio do AD como membro com o respetivo nome (Contoso\ITAdmins), adicione um grupo Microsoft Entra pelo respetivo SID (S-1-12-1-1111111111-22222222222-333333333-4444444444) e remova uma conta local (Convidado) se existir.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "U" />
        <add member = "Contoso\ITAdmins"/>
        <add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
        <remove member = "Guest"/>
    </accessgroup>
</GroupConfiguration>

Observação

Quando os SID do grupo Microsoft Entra são adicionados a grupos locais, os privilégios de início de sessão da conta Microsoft Entra são avaliados apenas para os seguintes grupos conhecidos num dispositivo Windows 10:

  • Administradores
  • Users
  • Convidados
  • Utilizadores Ativos
  • Utilizadores do Ambiente de Trabalho Remoto
  • Utilizadores de Gestão Remota

Perguntas frequentes

Esta secção fornece respostas a algumas perguntas comuns que poderá ter sobre o CSP da política LocalUsersAndGroups.

O que acontece se remover acidentalmente o SID de Administrador incorporado do grupo Administradores?

A remoção da conta de Administrador incorporada do grupo administradores incorporado está bloqueada ao nível do SAM/SO por motivos de segurança. Se tentar fazê-lo, ocorrerá uma falha com o seguinte erro:

Código de Erro Nome Simbólico Descrição do erro Cabeçalho
0x55b (Hex)
1371 (Dez)
ERROR_SPECIAL_ACCOUNT Não é possível executar esta operação em contas incorporadas. winerror.h

Ao configurar o grupo Administradores incorporado com a ação R (Restringir), especifique o SID/Nome da conta de Administrador incorporado no <add member> para evitar este erro.

Posso adicionar um membro que já existe?

Sim, pode adicionar um membro que já seja membro de um grupo. Isto não resultará em alterações ao grupo nem erros.

Posso remover um membro se não for membro do grupo?

Sim, pode remover um membro mesmo que não seja membro do grupo. Isto não resultará em alterações ao grupo nem erros.

Como posso adicionar um grupo de domínio como membro a um grupo local?

Para adicionar um grupo de domínio como membro a um grupo local, especifique o grupo de domínios no <add member> grupo local. Utilize nomes de conta completamente qualificados (por exemplo, domain_name\group_name) em vez de nomes isolados (por exemplo, group_name) para obter os melhores resultados. Veja Função LookupAccountNameA para obter mais informações.

Posso aplicar mais do que uma política/XML LocalUserAndGroups ao mesmo dispositivo?

Não, isto não é permitido. Tentar fazê-lo resultará num conflito no Intune.

O que acontece se especificar um nome de grupo que não existe?

Os nomes de grupo ou SIDs inválidos serão ignorados. Serão aplicadas partes válidas da política e será devolvido um erro no final do processamento. Este comportamento está alinhado com a política LocalUsersAndGroups do AD GPP (Preferências de Política de Grupo) no local. Da mesma forma, os nomes de membros inválidos serão ignorados e o erro será devolvido no final para notificar que nem todas as definições foram aplicadas com êxito.

O que acontece se especificar R e U no mesmo XML?

Se especificar R e U no mesmo XML, a ação R (Restringir) tem precedência sobre U (Atualização). Por conseguinte, se um grupo aparecer duas vezes no XML, uma vez consigo e novamente com R, a ação R ganha.

Como posso verificar o resultado de uma política aplicada no dispositivo cliente?

Depois de uma política ser aplicada no dispositivo cliente, pode investigar o registo de eventos para rever o resultado:

  1. Abra o Visualizador de Eventos (eventvwr.exe).
  2. Navegue para Registos de Aplicações e Serviços>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Admin.
  3. Procure a cadeia LocalUsersAndGroups para rever os detalhes relevantes.

Como posso resolver problemas de APIs de pesquisa de Nome/SID?

Para resolver problemas de APIs de pesquisa de Nome/SID:

  1. Ative lsp.log no dispositivo cliente ao executar os seguintes comandos:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -Force
    

    Será apresentado o ficheiro de lsp.log (C:\windows\debug\lsp.log). Este ficheiro de registo controla a resolução SID-Name.

  2. Desative o registo ao executar o seguinte comando:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force
    

Provedor de serviço da configuração de política