策略 CSP - 受限组
重要提示
从 Windows 10 版本 20H2 开始,若要配置 Windows 本地组的成员,请使用 LocalUsersandGroups 策略,而不是 RestrictedGroups 策略。 这些成员可以是用户或Microsoft Entra组。
不要将这两个策略应用于同一设备,它不受支持,并且可能会产生不可预知的结果。
ConfigureGroupMembership
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1803 [10.0.17134] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership
此安全设置允许管理员定义安全敏感 (受限) 组的成员。 强制实施受限组策略时,将删除未在成员列表上的受限组的任何当前成员。 将添加“成员”列表中当前不是受限组成员的任何用户。 可以使用受限的组策略来控制组成员身份。 使用该策略,可以指定哪些成员属于组。 在配置或刷新期间,将删除策略中未指定的任何成员。 例如,可以创建受限组策略,以仅允许指定用户 (例如 Alice 和 John) 成为 Administrators 组的成员。 刷新策略时,只有 Alice 和 John 将保持为管理员组的成员。
注意
如果应用了“受限的组”策略,则会删除不在“受限的组”策略成员列表中的任何当前成员。 这可以包括默认成员,例如管理员。 受限组应主要用于在工作站或成员服务器上配置本地组的成员身份。 空成员列表意味着受限组没有成员。
注意
无法从内置管理员组中删除内置管理员帐户。 如果尝试将其删除,该命令将失败并出现以下错误:
| 错误代码 | 符号名称 | 错误描述 | 标题 |
|---|---|---|---|
0x55b (十六进制) 1371 (12 月) 日 |
ERROR_SPECIAL_ACCOUNT | 无法对内置帐户执行此操作。 | winerror.h |
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
允许的值:
展开以查看架构 XML
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
<xs:simpleType name="member_name">
<xs:restriction base="xs:string">
<xs:maxLength value="255" />
</xs:restriction>
</xs:simpleType>
<xs:element name="accessgroup">
<xs:complexType>
<xs:sequence>
<xs:element name="member" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group Member</xs:documentation>
</xs:annotation>
<xs:complexType>
<xs:attribute name="name" type="member_name" use="required" />
</xs:complexType>
</xs:element>
</xs:sequence>
<xs:attribute name="desc" type="member_name" use="required" />
</xs:complexType>
</xs:element>
<xs:element name="groupmembership">
<xs:complexType>
<xs:sequence>
<xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group</xs:documentation>
</xs:annotation>
</xs:element>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>
示例:
<groupmembership>
<accessgroup desc = "Group1">
<member name = "S-1-15-6666767-76767676767-666666777"/>
<member name = "contoso\Alice"/>
</accessgroup>
<accessgroup desc = "Group2">
<member name = "S-1-15-1233433-23423432423-234234324"/>
<member name = "contoso\Group3"/>
</accessgroup>
</groupmembership>
属性的说明:
<accessgroup desc>包含要配置的本地组 SID 或组名称。 如果在此处指定了 SID,则策略将使用 LookupAccountName API 来获取本地组名称。 为获得最佳结果,请使用 的名称<accessgroup desc>。<member name>包含要添加到 中的<accessgroup desc>组的成员。 可以将成员指定为名称或 SID。 为获得最佳结果,请对<member name>使用 SID。 成员 SID 可以是 Active Directory、Microsoft Entra ID 或本地计算机上的用户帐户或组。 如果在此处指定了名称,策略将尝试使用 LookupAccountSID API 获取相应的 SID。 名称可用于 Active Directory 或本地计算机上的用户帐户或组。 使用 NetLocalGroupSetMembers API 配置成员身份。在此示例中,
Group1和Group2是正在配置的设备上的本地组,是Group3域组。
注意
目前,RestrictedGroups/ConfigureGroupMembership 策略没有 MemberOf 功能。 但是,可以使用成员部分将域组作为成员添加到本地组,如以下示例所示。
策略时间线:
此策略设置的行为因Windows 10版本而异。 对于Windows 10 版本 1809到版本 1909,可以在 中使用 <accessgroup desc> name,在 中使用 <member name>SID。 对于Windows 10版本 2004,可以对这两个元素使用名称或 SID,如示例中所述。
下表介绍了此策略设置在不同Windows 10版本中的行为方式:
| Windows 10 版本 | 策略行为 |
|---|---|
| Windows 10 版本 1803 | 添加了此策略设置。 XML 仅按名称接受组和成员。 支持使用组名称配置管理员组。 成员名称应采用帐户名称格式。 |
| Windows 10 版本 1809 Windows 10 版本 1903 Windows 10 版本 1909 |
支持配置任何本地组。 <accessgroup desc> 仅接受名称。 <member name> 接受名称或 SID。 如果要确保某个本地组始终将已知的 SID 作为成员,则此行为非常有用。 |
| Windows 10 版本 2004 | 行为如本文所述。 接受组和成员的名称或 SID,并根据需要进行转换。 |