Fournisseur de services de configuration de stratégie - LocalUsersAndGroups

Configurer

Étendue	Éditions	Système d’exploitation applicable
✅ Appareil ❌Utilisateur	✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, version 2009 [10.0.19042] et versions ultérieures

./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure

Ce paramètre permet à un administrateur de gérer des groupes locaux sur un appareil. Paramètres possibles :

1. Mettre à jour l’appartenance au groupe : Mettez à jour un groupe et ajoutez et/ou supprimez des membres via l’action « U ». Lors de l’utilisation de Update, les membres de groupe existants qui ne sont pas spécifiés dans la stratégie restent intacts.
2. Remplacer l’appartenance au groupe : limitez un groupe en remplaçant l’appartenance au groupe par le biais de l’action « R ». Lorsque vous utilisez Remplacer, l’appartenance au groupe existante est remplacée par la liste des membres spécifiée dans la section Ajouter un membre. Cette option fonctionne de la même façon qu’un groupe restreint et tous les membres du groupe qui ne sont pas spécifiés dans la stratégie sont supprimés.

Attention

Si le même groupe est configuré avec Remplacer et Mettre à jour, remplacer gagne.

Remarque

Le paramètre de stratégie RestrictedGroups/ConfigureGroupMembership vous permet également de configurer des membres (utilisateurs ou groupes Microsoft Entra) sur un groupe local Windows 10. Toutefois, il autorise uniquement le remplacement complet des groupes existants par les nouveaux membres et n’autorise pas l’ajout ou la suppression sélective.

À partir de Windows 10, version 20H2, il est recommandé d’utiliser la stratégie LocalUsersAndGroups au lieu de la stratégie RestrictedGroups. L’application des deux stratégies au même appareil n’est pas prise en charge et peut produire des résultats imprévisibles.

Propriétés de l’infrastructure de description :

Nom de la propriété	Valeur de la propriété
Format	chr (chaîne)
Type d’accès	Ajouter, Supprimer, Obtenir, Remplacer

Valeurs autorisées:

Développer pour afficher le code XML du schéma

<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
  <xs:simpleType name="name">
    <xs:restriction base="xs:string">
      <xs:maxLength value="255" />
    </xs:restriction>
  </xs:simpleType>
  <xs:element name="accessgroup">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="group" minOccurs="1" maxOccurs="1">
          <xs:annotation>
            <xs:documentation>Group Configuration Action</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="action" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="add" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group Member to Add</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="member" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="remove" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group Member to Remove</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="member" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="property" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group property to configure</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="desc" type="name" use="required" />
            <xs:attribute name="value" type="name" use="required" />
          </xs:complexType>
        </xs:element>
      </xs:sequence>
      <xs:attribute name="desc" type="name" use="required" />
    </xs:complexType>
  </xs:element>
  <xs:element name="GroupConfiguration">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Local Group Configuration</xs:documentation>
          </xs:annotation>
        </xs:element>
      </xs:sequence>
    </xs:complexType>
  </xs:element>
</xs:schema>

Exemples :

Voici un exemple de code XML de définition de stratégie pour la configuration de groupe :

<GroupConfiguration>
    <accessgroup desc = "">
        <group action = ""/>
            <add member = ""/>
            <remove member = ""/>
    </accessgroup>
</GroupConfiguration>

où :

• <accessgroup desc>: spécifie le nom ou le SID du groupe local à configurer. Si vous spécifiez un SID, l’API LookupAccountSid est utilisée pour traduire le SID en nom de groupe valide. Si vous spécifiez un nom, l’API LookupAccountName est utilisée pour rechercher le groupe et valider le nom. Si la recherche nom/SID échoue, le groupe est ignoré et le groupe suivant dans le fichier XML est traité. S’il existe plusieurs erreurs, la dernière erreur est retournée à la fin du traitement de la stratégie.

• <group action>: spécifie l’action à entreprendre sur le groupe local, qui peut être Update et Restrict, représenté par vous et R :

  • Mise à jour. Cette action doit être utilisée pour conserver l’appartenance actuelle au groupe et ajouter ou supprimer des membres du groupe spécifique.
  • Restreindre. Cette action doit être utilisée pour remplacer l’appartenance actuelle par les groupes nouvellement spécifiés. Cette action fournit les mêmes fonctionnalités que le paramètre de stratégie RestrictedGroups/ConfigureGroupMembership .

• <add member>: spécifie le SID ou le nom du membre à configurer.

• <remove member>: spécifie le SID ou le nom du membre à supprimer du groupe spécifié.

  Remarque

  Lorsque vous spécifiez des noms de membres des comptes d’utilisateur, vous devez utiliser le format suivant : AzureAD\userUPN. Par exemple, « AzureAD\user1@contoso.com » ou « AzureAD\user2@contoso.co.uk ». Pour ajouter Microsoft Entra groupes, vous devez spécifier le SID de groupe Microsoft Entra. Microsoft Entra noms de groupes ne sont pas pris en charge avec cette stratégie. Pour plus d’informations, consultez LookupAccountNameA, fonction.

Pour plus d’informations sur la création de profils personnalisés, consultez Utiliser des paramètres personnalisés pour Windows 10 appareils dans Intune.

Important

• <add member>et <remove member> peuvent utiliser un SID Microsoft Entra ou le nom de l’utilisateur. Pour ajouter ou supprimer des groupes Microsoft Entra à l’aide de cette stratégie, vous devez utiliser le SID du groupe. Microsoft Entra SID de groupe peuvent être obtenus à l’aide de l’API Graph pour les groupes. Le SID est présent dans l’attribut securityIdentifier .
• Lors de la spécification d’un SID dans ou <add member><remove member>, les SID membres sont ajoutés sans tenter de les résoudre. Par conséquent, soyez très prudent lorsque vous spécifiez un SID pour vous assurer qu’il est correct.
• <remove member> n’est pas valide pour l’action R (Restreindre) et sera ignoré s’il est présent.
• La liste dans le code XML est traitée dans l’ordre donné, à l’exception des actions R, qui sont traitées en dernier pour s’assurer qu’elles gagnent. Cela signifie également que, si un groupe est présent plusieurs fois avec des valeurs d’ajout/suppression différentes, tous les éléments sont traités dans l’ordre dans lequel ils sont présents.

Exemple 1 : Microsoft Entra ID prioritaire.

L’exemple suivant met à jour le groupe d’administrateurs intégré avec le SID S-1-5-21-22222222-333333333-444444444444-500 avec un compte Microsoft Entra « » et un Microsoft Entra compte «bob@contoso.com » et un Microsoft Entra groupe avec le SID S-1-12-1-111111111-22222222222-333333333333-444444444444444444 sur une machine jointe Microsoft Entra.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "U" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
    </accessgroup>
</GroupConfiguration>

Exemple 2 : Remplacer/Restreindre le groupe d’administrateurs intégré par un compte d’utilisateur Microsoft Entra.

Remarque

Lorsque vous utilisez l’option de remplacement « R » pour configurer le groupe Administrateurs intégré avec le SID S-1-5-21-222222222-33333333333-44444444444-500 , vous devez toujours spécifier l’administrateur en tant que membre, ainsi que tous les autres membres personnalisés. Cela est nécessaire, car l’administrateur intégré doit toujours être membre du groupe Administrateurs.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "R" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "Administrator"/>
    </accessgroup>
</GroupConfiguration>

Exemple 3 : Action de mise à jour pour ajouter et supprimer des membres de groupe sur un ordinateur joint hybride.

L’exemple suivant montre comment mettre à jour un groupe local (administrateurs avec le SID S-1-5-21-222222222222222-333333333-4444444444444-500) : ajouter un groupe de domaine AD en tant que membre à l’aide de son nom (Contoso\ITAdmins) ), ajoutez un groupe Microsoft Entra par son SID (S-1-12-1-111111111-2222222222-33333333333-444444444444444), puis supprimez un compte local (Invité) s’il existe.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "U" />
        <add member = "Contoso\ITAdmins"/>
        <add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
        <remove member = "Guest"/>
    </accessgroup>
</GroupConfiguration>

Remarque

Lorsque Microsoft Entra SID de groupe sont ajoutés à des groupes locaux, Microsoft Entra privilèges d’ouverture de session de compte sont évalués uniquement pour les groupes connus suivants sur un appareil Windows 10 :

• Administrateurs
• Users
• Invités
• Utilisateurs avec pouvoir
• Utilisateurs de bureau à distance
• Utilisateurs de gestion à distance

FAQ

Cette section fournit des réponses à certaines questions courantes que vous pouvez avoir sur le csp de stratégie LocalUsersAndGroups.

Que se passe-t-il si je supprime accidentellement le SID Administrateur intégré du groupe Administrateurs ?

La suppression du compte Administrateur intégré du groupe Administrateurs intégré est bloquée au niveau sam/système d’exploitation pour des raisons de sécurité. Toute tentative de ce type entraîne l’échec avec l’erreur suivante :

Code d'erreur	Nom symbolique	Description de l’erreur	En-tête
0x55b (hexadécimal) 1371 (déc)	ERROR_SPECIAL_ACCOUNT	Impossible d’effectuer cette opération sur les comptes intégrés.	winerror.h

Lors de la configuration du groupe Administrateurs intégré avec l’action R (Restreindre), spécifiez le SID/Nom du compte Administrateur intégré dans <add member> pour éviter cette erreur.

Puis-je ajouter un membre qui existe déjà ?

Oui, vous pouvez ajouter un membre qui est déjà membre d’un groupe. Cela n’entraîne aucune modification du groupe et aucune erreur.

Puis-je supprimer un membre s’il n’est pas membre du groupe ?

Oui, vous pouvez supprimer un membre même s’il n’est pas membre du groupe. Cela n’entraîne aucune modification du groupe et aucune erreur.

Comment puis-je ajouter un groupe de domaines en tant que membre à un groupe local ?

Pour ajouter un groupe de domaines en tant que membre à un groupe local, spécifiez le groupe de domaines dans <add member> le groupe local. Utilisez des noms de comptes complets (par exemple, domain_name\group_name) au lieu de noms isolés (par exemple, group_name) pour obtenir de meilleurs résultats. Pour plus d’informations, consultez LookupAccountNameA, fonction .

Puis-je appliquer plusieurs stratégies/XML LocalUserAndGroups au même appareil ?

Non, ce n’est pas autorisé. Si vous tentez de le faire, vous obtiendrez un conflit dans Intune.

Que se passe-t-il si je spécifie un nom de groupe qui n’existe pas ?

Les noms de groupe ou LES SID non valides seront ignorés. Des parties valides de la stratégie s’appliquent et une erreur est retournée à la fin du traitement. Ce comportement s’aligne sur la stratégie locale AD GPP (stratégie de groupe Preferences) LocalUsersAndGroups. De même, les noms de membres non valides sont ignorés et une erreur est retournée à la fin pour signaler que tous les paramètres n’ont pas été appliqués avec succès.

Que se passe-t-il si je spécifie R et U dans le même code XML ?

Si vous spécifiez R et U dans le même code XML, l’action R (Restreindre) est prioritaire sur U (Mise à jour). Par conséquent, si un groupe apparaît deux fois dans le code XML, une fois avec vous et à nouveau avec R, l’action R gagne.

Comment faire case activée le résultat d’une stratégie appliquée sur l’appareil client ?

Une fois qu’une stratégie est appliquée sur l’appareil client, vous pouvez examiner le journal des événements pour examiner le résultat :

1. Ouvrez observateur d'événements (eventvwr.exe).
2. Accédezà Journaux >des applications et des servicesMicrosoft >Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Administration.
3. Recherchez la LocalUsersAndGroups chaîne pour passer en revue les détails pertinents.

Comment puis-je résoudre les problèmes liés aux API de recherche de nom/SID ?

Pour résoudre les problèmes liés aux API de recherche nom/SID :

1. Activez lsp.log sur l’appareil client en exécutant les commandes suivantes :

   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -Force
   

   Le fichier lsp.log (C :\windows\debug\lsp.log) s’affiche. Ce fichier journal effectue le suivi de la résolution SID-Name.

2. Désactivez la journalisation en exécutant la commande suivante :

   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force
   

Articles connexes

Fournisseur de services de configuration de stratégie