Richtlinien-CSP – LocalUsersAndGroups
Konfigurieren
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 2009 [10.0.19042] und höher |
./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure
Diese Einstellung ermöglicht es einem Administrator, lokale Gruppen auf einem Gerät zu verwalten. Mögliche Einstellungen:
- Gruppenmitgliedschaft aktualisieren: Aktualisieren Einer Gruppe und Hinzufügen und/oder Entfernen von Mitgliedern über die Aktion "U". Wenn Sie Update verwenden, bleiben vorhandene Gruppenmitglieder, die nicht in der Richtlinie angegeben sind, unverändert.
- Gruppenmitgliedschaft ersetzen: Schränken Sie eine Gruppe ein, indem Sie die Gruppenmitgliedschaft durch die Aktion "R" ersetzen. Wenn Sie Ersetzen verwenden, wird die vorhandene Gruppenmitgliedschaft durch die Liste der Mitglieder ersetzt, die im Abschnitt "Mitglied hinzufügen" angegeben sind. Diese Option funktioniert auf die gleiche Weise wie eine eingeschränkte Gruppe, und alle Gruppenmitglieder, die nicht in der Richtlinie angegeben sind, werden entfernt.
Achtung
Wenn dieselbe Gruppe sowohl mit Ersetzen als auch mit Update konfiguriert ist, gewinnt Replace.
Hinweis
Mit der Richtlinieneinstellung RestrictedGroups/ConfigureGroupMembership können Sie auch Mitglieder (Benutzer oder Microsoft Entra Gruppen) für eine Windows 10 lokale Gruppe konfigurieren. Es ermöglicht jedoch nur ein vollständiges Ersetzen der vorhandenen Gruppen durch die neuen Mitglieder und lässt das selektive Hinzufügen oder Entfernen nicht zu.
Ab Windows 10 Version 20H2 wird empfohlen, anstelle der Richtlinie RestrictedGroups die Richtlinie LocalUsersAndGroups zu verwenden. Das Anwenden beider Richtlinien auf dasselbe Gerät wird nicht unterstützt und kann zu unvorhersehbaren Ergebnissen führen.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Zulässige Werte:
Erweitern, um Schema-XML anzuzeigen
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
<xs:simpleType name="name">
<xs:restriction base="xs:string">
<xs:maxLength value="255" />
</xs:restriction>
</xs:simpleType>
<xs:element name="accessgroup">
<xs:complexType>
<xs:sequence>
<xs:element name="group" minOccurs="1" maxOccurs="1">
<xs:annotation>
<xs:documentation>Group Configuration Action</xs:documentation>
</xs:annotation>
<xs:complexType>
<xs:attribute name="action" type="name" use="required" />
</xs:complexType>
</xs:element>
<xs:element name="add" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Group Member to Add</xs:documentation>
</xs:annotation>
<xs:complexType>
<xs:attribute name="member" type="name" use="required" />
</xs:complexType>
</xs:element>
<xs:element name="remove" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Group Member to Remove</xs:documentation>
</xs:annotation>
<xs:complexType>
<xs:attribute name="member" type="name" use="required" />
</xs:complexType>
</xs:element>
<xs:element name="property" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Group property to configure</xs:documentation>
</xs:annotation>
<xs:complexType>
<xs:attribute name="desc" type="name" use="required" />
<xs:attribute name="value" type="name" use="required" />
</xs:complexType>
</xs:element>
</xs:sequence>
<xs:attribute name="desc" type="name" use="required" />
</xs:complexType>
</xs:element>
<xs:element name="GroupConfiguration">
<xs:complexType>
<xs:sequence>
<xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Local Group Configuration</xs:documentation>
</xs:annotation>
</xs:element>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>
Beispiele:
Hier sehen Sie ein Beispiel für die Richtliniendefinitions-XML für die Gruppenkonfiguration:
<GroupConfiguration>
<accessgroup desc = "">
<group action = ""/>
<add member = ""/>
<remove member = ""/>
</accessgroup>
</GroupConfiguration>
Dabei gilt Folgendes:
<accessgroup desc>: Gibt den Namen oder die SID der zu konfigurierenden lokalen Gruppe an. Wenn Sie eine SID angeben, wird die LookupAccountSid-API verwendet, um die SID in einen gültigen Gruppennamen zu übersetzen. Wenn Sie einen Namen angeben, wird die LookupAccountName-API verwendet, um die Gruppe nachzuschlagen und den Namen zu überprüfen. Wenn die Name-/SID-Suche fehlschlägt, wird die Gruppe übersprungen, und die nächste Gruppe in der XML-Datei wird verarbeitet. Wenn mehrere Fehler auftreten, wird der letzte Fehler am Ende der Richtlinienverarbeitung zurückgegeben.<group action>: Gibt die Aktion an, die für die lokale Gruppe ausgeführt werden soll, die update und restrict sein kann, dargestellt durch Sie und R:- Update. Diese Aktion muss verwendet werden, um die aktuelle Gruppenmitgliedschaft intakt zu halten und Mitglieder der jeweiligen Gruppe hinzuzufügen oder zu entfernen.
- Beschränken. Diese Aktion muss verwendet werden, um die aktuelle Mitgliedschaft durch die neu angegebenen Gruppen zu ersetzen. Diese Aktion bietet die gleiche Funktionalität wie die Richtlinieneinstellung RestrictedGroups/ConfigureGroupMembership .
<add member>: Gibt die SID oder den Namen des zu konfigurierenden Members an.<remove member>: Gibt die SID oder den Namen des Elements an, das aus der angegebenen Gruppe entfernt werden soll.Hinweis
Beim Angeben von Mitgliedsnamen der Benutzerkonten müssen Sie das folgende Format verwenden: AzureAD\userUPN. Beispiel: "AzureAD\user1@contoso.com" oder "AzureAD\user2@contoso.co.uk". Zum Hinzufügen von Microsoft Entra Gruppen müssen Sie die SID der Microsoft Entra Gruppe angeben. Microsoft Entra Gruppennamen werden von dieser Richtlinie nicht unterstützt. Weitere Informationen finden Sie unter LookupAccountNameA-Funktion.
Informationen zum Erstellen benutzerdefinierter Profile finden Sie unter Verwenden von benutzerdefinierten Einstellungen für Windows 10-Geräte in Intune.
Wichtig
<add member>und<remove member>können eine Microsoft Entra SID oder den Namen des Benutzers verwenden. Zum Hinzufügen oder Entfernen Microsoft Entra Gruppen mithilfe dieser Richtlinie müssen Sie die SID der Gruppe verwenden. Microsoft Entra Gruppen-SIDs können mithilfe der Graph-API für Gruppen abgerufen werden. Die SID ist imsecurityIdentifier-Attribut vorhanden.- Wenn Sie eine SID in oder
<add member><remove member>angeben, werden Member-SIDs hinzugefügt, ohne sie aufzulösen. Seien Sie daher sehr vorsichtig, wenn Sie eine SID angeben, um sicherzustellen, dass sie korrekt ist. <remove member>ist für die R-Aktion (Einschränken) ungültig und wird ignoriert, falls vorhanden.- Die Liste im XML-Code wird in der angegebenen Reihenfolge verarbeitet, mit Ausnahme der R-Aktionen, die zuletzt verarbeitet werden, um sicherzustellen, dass sie gewinnen. Dies bedeutet auch, dass, wenn eine Gruppe mehrmals mit unterschiedlichen Add-/Remove-Werten vorhanden ist, alle in der Reihenfolge verarbeitet werden, in der sie vorhanden sind.
Beispiel 1: Microsoft Entra ID fokussiert.
Im folgenden Beispiel wird die integrierte Administratorgruppe mit der SID S-1-5-21-222222222-33333333333-4444444444444-500 mit einem Microsoft Entra Konto "bob@contoso.com" und einem Microsoft Entra Microsoft Entra aktualisiert. Gruppe mit der SID S-1-12-1-111111111-2222222222-333333333333-444444444444 auf einem Microsoft Entra verknüpften Computer.
<GroupConfiguration>
<accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
<group action = "U" />
<add member = "AzureAD\bob@contoso.com"/>
<add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
</accessgroup>
</GroupConfiguration>
Beispiel 2: Ersetzen/Einschränken der integrierten Administratorgruppe durch ein Microsoft Entra Benutzerkonto.
Hinweis
Wenn Sie die Option "R" zum Ersetzen der integrierten Administratorengruppe mit der SID S-1-5-21-222222222-33333333333-444444444-500 verwenden, sollten Sie den Administrator immer als Mitglied und alle anderen benutzerdefinierten Mitglieder angeben. Dies ist erforderlich, da der integrierte Administrator immer Mitglied der Administratorgruppe sein muss.
<GroupConfiguration>
<accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
<group action = "R" />
<add member = "AzureAD\bob@contoso.com"/>
<add member = "Administrator"/>
</accessgroup>
</GroupConfiguration>
Beispiel 3: Aktualisieren der Aktion zum Hinzufügen und Entfernen von Gruppenmitgliedern auf einem hybrid eingebundenen Computer.
Das folgende Beispiel zeigt, wie Sie eine lokale Gruppe (Administratoren mit der SID S-1-5-21-22222222-333333333333-44444444444-500) aktualisieren und eine AD-Domänengruppe unter Verwendung ihres Namens als Mitglied hinzufügen (Contoso\ITAdmins) ), fügen Sie eine Microsoft Entra Gruppe anhand ihrer SID (S-1-12-1-111111111-222222222-33333333333-4444444444) hinzu, und entfernen Sie ein lokales Konto (Gast), falls vorhanden.
<GroupConfiguration>
<accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
<group action = "U" />
<add member = "Contoso\ITAdmins"/>
<add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
<remove member = "Guest"/>
</accessgroup>
</GroupConfiguration>
Hinweis
Wenn Microsoft Entra Gruppen-SIDs lokalen Gruppen hinzugefügt werden, werden Microsoft Entra Kontoanmeldeberechtigungen nur für die folgenden bekannten Gruppen auf einem Windows 10 Gerät ausgewertet:
- Administratoren
- Users
- Gäste
- PowerUser
- Remotedesktopbenutzer
- Remoteverwaltungsbenutzer
Häufig gestellte Fragen
Dieser Abschnitt enthält Antworten auf einige häufig gestellte Fragen zum LocalUsersAndGroups-Richtlinien-CSP.
Was geschieht, wenn ich versehentlich die integrierte Administrator-SID aus der Gruppe "Administratoren" entferne?
Das Entfernen des integrierten Administratorkontos aus der integrierten Administratorgruppe wird aus Sicherheitsgründen auf SAM/OS-Ebene blockiert. Der Versuch, dies zu tun, führt zu einem Fehler mit dem folgenden Fehler:
| Fehlercode | Symbolischer Name | Fehlerbeschreibung | Kopfzeile |
|---|---|---|---|
| 0x55b (Hex) 1371 (Dez) |
ERROR_SPECIAL_ACCOUNT | Dieser Vorgang kann für integrierte Konten nicht ausgeführt werden. | winerror.h |
Wenn Sie die integrierte Gruppe Administratoren mit der Aktion R (Einschränken) konfigurieren, geben Sie die integrierte Administratorkonto-SID/den Namen in <add member> an, um diesen Fehler zu vermeiden.
Kann ich ein Bereits vorhandenes Mitglied hinzufügen?
Ja, Sie können ein Mitglied hinzufügen, das bereits Mitglied einer Gruppe ist. Dies führt zu keinen Änderungen an der Gruppe und zu keinem Fehler.
Kann ich ein Mitglied entfernen, wenn es kein Mitglied der Gruppe ist?
Ja, Sie können ein Mitglied auch dann entfernen, wenn es kein Mitglied der Gruppe ist. Dies führt zu keinen Änderungen an der Gruppe und zu keinem Fehler.
Wie kann ich einer lokalen Gruppe eine Domänengruppe als Mitglied hinzufügen?
Um einer lokalen Gruppe eine Domänengruppe als Mitglied hinzuzufügen, geben Sie die Domänengruppe in <add member> der lokalen Gruppe an. Verwenden Sie vollqualifizierte Kontonamen (z. B. domain_name\group_name) anstelle isolierter Namen (z. B. group_name), um optimale Ergebnisse zu erzielen. Weitere Informationen finden Sie unter LookupAccountNameA-Funktion .
Kann ich mehr als eine LocalUserAndGroups-Richtlinie/XML auf dasselbe Gerät anwenden?
Nein, dies ist nicht zulässig. Der Versuch, dies zu tun, führt zu einem Konflikt in Intune.
Was geschieht, wenn ich einen Gruppennamen an gebe, der nicht vorhanden ist?
Ungültige Gruppennamen oder SIDs werden übersprungen. Gültige Teile der Richtlinie werden angewendet, und am Ende der Verarbeitung wird ein Fehler zurückgegeben. Dieses Verhalten entspricht der lokalen AD GPP-Richtlinie (Gruppenrichtlinie Preferences) LocalUsersAndGroups. Ebenso werden ungültige Membernamen übersprungen, und am Ende wird ein Fehler zurückgegeben, um zu benachrichtigen, dass nicht alle Einstellungen erfolgreich angewendet wurden.
Was geschieht, wenn ich R und U im gleichen XML-Code anspeziere?
Wenn Sie sowohl R als auch U im gleichen XML-Code angeben, hat die R-Aktion (Einschränken) Vorrang vor U (Update). Wenn also eine Gruppe zweimal im XML-Code angezeigt wird, einmal bei Ihnen und erneut mit R, gewinnt die R-Aktion.
Gewusst wie das Ergebnis einer Richtlinie überprüfen, die auf das Clientgerät angewendet wird?
Nachdem eine Richtlinie auf das Clientgerät angewendet wurde, können Sie das Ereignisprotokoll untersuchen, um das Ergebnis zu überprüfen:
- Öffnen Sie Ereignisanzeige (eventvwr.exe).
- Navigieren Sie zu Anwendungs- und Dienstprotokolle>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Admin.
- Suchen Sie nach der
LocalUsersAndGroupsZeichenfolge, um die relevanten Details zu überprüfen.
Wie kann ich Probleme mit Namen-/SID-Lookup-APIs beheben?
Gehen Sie wie folgt vor, um Probleme mit Namen-/SID-Lookup-APIs zu beheben:
Aktivieren Sie lsp.log auf dem Clientgerät, indem Sie die folgenden Befehle ausführen:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -ForceDie lsp.log-Datei (C:\windows\debug\lsp.log) wird angezeigt. Diese Protokolldatei verfolgt die SID-Name Auflösung nach.
Deaktivieren Sie die Protokollierung, indem Sie den folgenden Befehl ausführen:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force
Verwandte Artikel
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für