CSP de directiva: LocalUsersAndGroups

  • Artículo

Configurar

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario		 ✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC		 ✅Windows 10, versión 2009 [10.0.19042] y versiones posteriores 
./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure

Esta configuración permite a un administrador administrar grupos locales en un dispositivo. Configuración posible:

  1. Actualizar pertenencia a grupos: actualice un grupo y agregue o quite miembros a través de la acción "U". Cuando se usa Update, los miembros del grupo existentes que no se especifican en la directiva permanecen intactos.
  2. Reemplazar pertenencia a grupos: restrinja un grupo reemplazando la pertenencia a grupos mediante la acción "R". Cuando se usa Replace, la pertenencia a grupos existente se reemplaza por la lista de miembros especificada en la sección agregar miembro. Esta opción funciona de la misma manera que un grupo restringido y se quitan todos los miembros del grupo que no se especifican en la directiva.

Precaución

Si el mismo grupo está configurado con Replace y Update, Reemplazar ganará.

Nota

La configuración de directiva RestrictedGroups/ConfigureGroupMembership también permite configurar miembros (usuarios o grupos de Microsoft Entra) en un grupo local Windows 10. Sin embargo, solo permite una sustitución completa de los grupos existentes por los nuevos miembros y no permite agregar o quitar selectivamente.

A partir de Windows 10, versión 20H2, se recomienda usar la directiva LocalUsersAndGroups en lugar de la directiva RestrictedGroups. No se admite la aplicación de ambas directivas al mismo dispositivo y puede producir resultados imprevisibles.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Valores permitidos:


Expandir para ver el XML de esquema 
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
  <xs:simpleType name="name">
    <xs:restriction base="xs:string">
      <xs:maxLength value="255" />
    </xs:restriction>
  </xs:simpleType>
  <xs:element name="accessgroup">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="group" minOccurs="1" maxOccurs="1">
          <xs:annotation>
            <xs:documentation>Group Configuration Action</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="action" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="add" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group Member to Add</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="member" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="remove" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group Member to Remove</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="member" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="property" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group property to configure</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="desc" type="name" use="required" />
            <xs:attribute name="value" type="name" use="required" />
          </xs:complexType>
        </xs:element>
      </xs:sequence>
      <xs:attribute name="desc" type="name" use="required" />
    </xs:complexType>
  </xs:element>
  <xs:element name="GroupConfiguration">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Local Group Configuration</xs:documentation>
          </xs:annotation>
        </xs:element>
      </xs:sequence>
    </xs:complexType>
  </xs:element>
</xs:schema>

Ejemplos:

Este es un ejemplo del XML de definición de directiva para la configuración de grupo:

<GroupConfiguration>
    <accessgroup desc = "">
        <group action = ""/>
            <add member = ""/>
            <remove member = ""/>
    </accessgroup>
</GroupConfiguration>

donde:

  • <accessgroup desc>: especifica el nombre o el SID del grupo local que se va a configurar. Si especifica un SID, la API LookupAccountSid se usa para traducir el SID a un nombre de grupo válido. Si especifica un nombre, la API LookupAccountName se usa para buscar el grupo y validar el nombre. Si se produce un error en la búsqueda de nombre o SID, se omite el grupo y se procesa el siguiente grupo en el archivo XML. Si hay varios errores, el último error se devuelve al final del procesamiento de directivas.

  • <group action>: especifica la acción que se va a realizar en el grupo local, que puede ser Actualizar y Restringir, representada por usted y R:

    • Update. Esta acción debe usarse para mantener intacta la pertenencia al grupo actual y agregar o quitar miembros del grupo específico.
    • Restringir. Esta acción debe usarse para reemplazar la pertenencia actual por los grupos recién especificados. Esta acción proporciona la misma funcionalidad que la configuración de directiva RestrictedGroups/ConfigureGroupMembership .

  • <add member>: especifica el SID o el nombre del miembro que se va a configurar.

  • <remove member>: especifica el SID o el nombre del miembro que se va a quitar del grupo especificado.

    Nota

    Al especificar los nombres de miembro de las cuentas de usuario, debe usar el siguiente formato: AzureAD\userUPN. Por ejemplo, "AzureAD\user1@contoso.com" o "AzureAD\user2@contoso.co.uk". Para agregar grupos de Microsoft Entra, debe especificar el SID del grupo de Microsoft Entra. Microsoft Entra nombres de grupo no se admiten con esta directiva. Para obtener más información, vea Función LookupAccountNameA.

Consulte Uso de la configuración personalizada para dispositivos Windows 10 en Intune para obtener información sobre cómo crear perfiles personalizados.

Importante

  • <add member>y <remove member> puede usar un SID de Microsoft Entra o el nombre del usuario. Para agregar o quitar Microsoft Entra grupos mediante esta directiva, debe usar el SID del grupo. Microsoft Entra SID de grupo se pueden obtener mediante Graph API for Groups. El SID está presente en el securityIdentifier atributo .
  • Al especificar un SID en o <add member><remove member>, los SID de miembro se agregan sin intentar resolverlos. Por lo tanto, tenga mucho cuidado al especificar un SID para asegurarse de que es correcto.
  • <remove member> no es válido para la acción R (Restringir) y se omitirá si está presente.
  • La lista del XML se procesa en el orden especificado, excepto para las acciones de R, que se procesan por última vez para asegurarse de que ganan. También significa que, si un grupo está presente varias veces con diferentes valores add/remove, todos ellos se procesarán en el orden en que están presentes.

Ejemplo 1: Microsoft Entra ID centrado.

En el ejemplo siguiente se actualiza el grupo de administradores integrado con el SID S-1-5-21-222222222222-3333333333-444444444-500 con una cuenta de Microsoft Entra "bob@contoso.com" y una Microsoft Entra Microsoft Entra grupo con el SID S-1-12-1-111111111-22222222222-3333333333-44444444444 en una máquina Microsoft Entra unida.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "U" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
    </accessgroup>
</GroupConfiguration>

Ejemplo 2: Reemplace o restrinja el grupo de administradores integrado por una cuenta de usuario Microsoft Entra.

Nota

Al usar la opción "R" replace para configurar el grupo de administradores integrado con el SID S-1-5-21-222222222222-33333333333-44444444444-500 siempre debe especificar el administrador como miembro más cualquier otro miembro personalizado. Esto es necesario porque el administrador integrado siempre debe ser miembro del grupo de administradores.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "R" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "Administrator"/>
    </accessgroup>
</GroupConfiguration>

Ejemplo 3: Acción de actualización para agregar y quitar miembros del grupo en una máquina combinada híbrida.

En el ejemplo siguiente se muestra cómo actualizar un grupo local (administradores con el SID S-1-5-21-22222222222-3333333333-4444444444-500): agregue un grupo de dominio de AD como miembro con su nombre (Contoso\ITAdmins). ), agregue un grupo de Microsoft Entra por su SID (S-1-12-1-111111111-222222222222-333333333-4444444444) y quite una cuenta local (Invitado) si existe.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "U" />
        <add member = "Contoso\ITAdmins"/>
        <add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
        <remove member = "Guest"/>
    </accessgroup>
</GroupConfiguration>

Nota

Cuando se agregan Microsoft Entra SID de grupo a grupos locales, los privilegios de inicio de sesión de Microsoft Entra cuenta solo se evalúan para los siguientes grupos conocidos en un dispositivo Windows 10:

  • Administradores
  • Usuarios
  • Invitados
  • Usuarios avanzados
  • Usuarios de Escritorio remoto
  • Usuarios de administración remota

P+F

En esta sección se proporcionan respuestas a algunas preguntas comunes que podría tener sobre el CSP de directiva LocalUsersAndGroups.

¿Qué ocurre si elimino accidentalmente el SID de administrador integrado del grupo Administradores?

La eliminación de la cuenta de administrador integrada del grupo de administradores integrado se bloquea en el nivel SAM/OS por motivos de seguridad. Al intentar hacerlo, se producirá un error con el siguiente error:

Código de error Nombre simbólico Descripción del error Encabezado
0x55b (hexadecimal)
1371 (dic)		 ERROR_SPECIAL_ACCOUNT No se puede realizar esta operación en cuentas integradas. winerror.h

Al configurar el grupo de administradores integrado con la acción R (Restringir), especifique el SID/Nombre de la cuenta de administrador integrada en <add member> para evitar este error.

¿Puedo agregar un miembro que ya existe?

Sí, puede agregar un miembro que ya sea miembro de un grupo. Esto no producirá ningún cambio en el grupo ni ningún error.

¿Puedo quitar un miembro si no es miembro del grupo?

Sí, puede quitar un miembro aunque no sea miembro del grupo. Esto no producirá ningún cambio en el grupo ni ningún error.

¿Cómo puedo agregar un grupo de dominio como miembro a un grupo local?

Para agregar un grupo de dominio como miembro a un grupo local, especifique el grupo de dominios del <add member> grupo local. Use nombres de cuenta completos (por ejemplo, domain_name\group_name) en lugar de nombres aislados (por ejemplo, group_name) para obtener los mejores resultados. Vea LookupAccountNameA function (Función LookupAccountNameA ) para obtener más información.

¿Puedo aplicar más de una directiva LocalUserAndGroups o XML al mismo dispositivo?

No, esto no está permitido. Si intenta hacerlo, se producirá un conflicto en Intune.

¿Qué ocurre si especifico un nombre de grupo que no existe?

Se omitirán los nombres de grupo o los SID no válidos. Se aplicarán partes válidas de la directiva y se devolverá el error al final del procesamiento. Este comportamiento se alinea con la directiva local de GPP de AD (preferencias de directiva de grupo) LocalUsersAndGroups. Del mismo modo, se omitirán los nombres de miembros no válidos y se devolverá un error al final para notificar que no todas las configuraciones se aplicaron correctamente.

¿Qué ocurre si especifico R y U en el mismo XML?

Si especifica R y U en el mismo XML, la acción R (Restringir) tiene prioridad sobre U (Actualizar). Por lo tanto, si un grupo aparece dos veces en el XML, una vez con usted y de nuevo con R, la acción de R gana.

Cómo comprobar el resultado de una directiva que se aplica en el dispositivo cliente?

Después de aplicar una directiva en el dispositivo cliente, puede investigar el registro de eventos para revisar el resultado:

  1. Abra Visor de eventos (eventvwr.exe).
  2. Vaya a Registros de aplicaciones y servicios>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Administración.
  3. Busque la LocalUsersAndGroups cadena para revisar los detalles pertinentes.

¿Cómo puedo solucionar problemas de las API de búsqueda de nombre o SID?

Para solucionar problemas de las API de búsqueda de nombre o SID:

  1. Habilite lsp.log en el dispositivo cliente mediante la ejecución de los siguientes comandos:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -Force

    Se mostrará el archivo lsp.log (C:\windows\debug\lsp.log). Este archivo de registro realiza un seguimiento de la resolución de SID-Name.

  2. Para desactivar el registro, ejecute el siguiente comando:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force

Proveedor de servicios de configuración de directivas