CSP de directiva: RestrictedGroups
Importante
A partir de Windows 10, versión 20H2, para configurar miembros de grupos locales de Windows, use la directiva LocalUsersandGroups en lugar de la directiva RestrictedGroups. Estos miembros pueden ser usuarios o grupos de Microsoft Entra.
No aplique ambas directivas al mismo dispositivo, no es compatible y puede producir resultados impredecibles.
ConfigureGroupMembership
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1803 [10.0.17134] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership
Esta configuración de seguridad permite a un administrador definir los miembros de un grupo que distingue la seguridad (restringido). Cuando se aplica una directiva de grupos restringidos, se quita cualquier miembro actual de un grupo restringido que no esté en la lista Miembros. Se agrega cualquier usuario de la lista Miembros que no sea actualmente miembro del grupo restringido. Puede usar la directiva grupos restringidos para controlar la pertenencia a grupos. Con la directiva, puede especificar qué miembros forman parte de un grupo. Los miembros que no se especifican en la directiva se quitan durante la configuración o actualización. Por ejemplo, puede crear una directiva de grupos restringidos para permitir que solo los usuarios especificados (por ejemplo, Alice y John) sean miembros del grupo Administradores. Cuando se actualiza la directiva, solo Alice y John permanecerán como miembros del grupo Administradores.
Precaución
Si se aplica una directiva de grupos restringidos, se quita cualquier miembro actual que no esté en la lista de miembros de directiva de grupos restringidos. Esto puede incluir miembros predeterminados, como administradores. Los grupos restringidos se deben usar principalmente para configurar la pertenencia a grupos locales en servidores de estación de trabajo o miembros. Una lista de miembros vacía significa que el grupo restringido no tiene miembros.
Precaución
No se puede quitar la cuenta de administrador integrada del grupo integrado Administradores. Si intenta quitarlo, el comando produce el siguiente error:
| Código de error | Nombre simbólico | Descripción del error | Encabezado |
|---|---|---|---|
0x55b (Hexadecimal)1371 (dic) |
ERROR_SPECIAL_ACCOUNT | No se puede realizar esta operación en cuentas integradas. | winerror.h |
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Valores permitidos:
Expandir para ver el XML de esquema
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
<xs:simpleType name="member_name">
<xs:restriction base="xs:string">
<xs:maxLength value="255" />
</xs:restriction>
</xs:simpleType>
<xs:element name="accessgroup">
<xs:complexType>
<xs:sequence>
<xs:element name="member" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group Member</xs:documentation>
</xs:annotation>
<xs:complexType>
<xs:attribute name="name" type="member_name" use="required" />
</xs:complexType>
</xs:element>
</xs:sequence>
<xs:attribute name="desc" type="member_name" use="required" />
</xs:complexType>
</xs:element>
<xs:element name="groupmembership">
<xs:complexType>
<xs:sequence>
<xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group</xs:documentation>
</xs:annotation>
</xs:element>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>
Ejemplo:
<groupmembership>
<accessgroup desc = "Group1">
<member name = "S-1-15-6666767-76767676767-666666777"/>
<member name = "contoso\Alice"/>
</accessgroup>
<accessgroup desc = "Group2">
<member name = "S-1-15-1233433-23423432423-234234324"/>
<member name = "contoso\Group3"/>
</accessgroup>
</groupmembership>
Descripciones de las propiedades:
<accessgroup desc>contiene el SID del grupo local o el nombre del grupo que se va a configurar. Si se especifica un SID aquí, la directiva usa la API LookupAccountName para obtener el nombre del grupo local. Para obtener mejores resultados, use nombres para<accessgroup desc>.<member name>contiene los miembros que se van a agregar al grupo en<accessgroup desc>. Un miembro se puede especificar como un nombre o como un SID. Para obtener los mejores resultados, use un SID para<member name>. El SID miembro puede ser una cuenta de usuario o un grupo en Active Directory, Microsoft Entra ID o en el equipo local. Si se especifica un nombre aquí, la directiva intentará obtener el SID correspondiente mediante la API LookupAccountSID . El nombre se puede usar para una cuenta de usuario o un grupo en Active Directory o en el equipo local. La pertenencia se configura mediante la API NetLocalGroupSetMembers .En este ejemplo,
Group1yGroup2son grupos locales en el dispositivo que se está configurando yGroup3es un grupo de dominio.
Nota
Actualmente, la directiva RestrictedGroups/ConfigureGroupMembership no tiene una funcionalidad MemberOf. Sin embargo, puede agregar un grupo de dominio como miembro a un grupo local mediante la parte de miembro, como se muestra en este ejemplo.
Escala de tiempo de la directiva:
El comportamiento de esta configuración de directiva difiere en diferentes versiones de Windows 10. Para Windows 10, versión 1809 a la versión 1909, puede usar el nombre en <accessgroup desc> y el SID en <member name>. Para Windows 10, versión 2004, puede usar name o SID para ambos elementos, como se describe en el ejemplo.
En la tabla siguiente se describe cómo se comporta esta configuración de directiva en diferentes versiones de Windows 10:
| Versión de Windows 10 | Comportamiento de la directiva |
|---|---|
| Windows 10, versión 1803 | Se ha agregado esta configuración de directiva. XML solo acepta grupos y miembros por nombre. Admite la configuración del grupo de administradores con el nombre del grupo. Espera que el nombre de miembro esté en el formato de nombre de cuenta. |
| Windows 10, versión 1809 Windows 10, versión 1903 Windows 10 versión 1909 |
Admite la configuración de cualquier grupo local. <accessgroup desc> acepta solo el nombre. <member name> acepta un nombre o un SID. Este comportamiento es útil cuando se quiere asegurarse de que un grupo local determinado siempre tiene un SID conocido como miembro. |
| Windows 10, versión 2004 | Se comporta como se describe en este artículo. Acepta el nombre o el SID para el grupo y los miembros y se traduce según corresponda. |