Fournisseur de services de configuration de stratégie - RestrictedGroups
Important
À partir de Windows 10, version 20H2, pour configurer les membres des groupes locaux Windows, utilisez la stratégie LocalUsersandGroups au lieu de la stratégie RestrictedGroups. Ces membres peuvent être des utilisateurs ou des groupes Microsoft Entra.
N’appliquez pas les deux stratégies au même appareil, elles ne sont pas prises en charge et peuvent produire des résultats imprévisibles.
ConfigureGroupMembership
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership
Ce paramètre de sécurité permet à un administrateur de définir les membres d’un groupe sensible à la sécurité (restreint). Lorsqu’une stratégie de groupes restreints est appliquée, tout membre actuel d’un groupe restreint qui ne figure pas dans la liste Membres est supprimé. Tout utilisateur de la liste Membres qui n’est pas actuellement membre du groupe restreint est ajouté. Vous pouvez utiliser la stratégie Groupes restreints pour contrôler l’appartenance au groupe. À l’aide de la stratégie, vous pouvez spécifier les membres qui font partie d’un groupe. Tous les membres qui ne sont pas spécifiés dans la stratégie sont supprimés lors de la configuration ou de l’actualisation. Par exemple, vous pouvez créer une stratégie Groupes restreints pour autoriser uniquement les utilisateurs spécifiés (par exemple, Alice et John) à être membres du groupe Administrateurs. Lorsque la stratégie est actualisée, seuls Alice et John restent membres du groupe Administrateurs.
Attention
Si une stratégie Groupes restreints est appliquée, tout membre actuel qui ne figure pas dans la liste des membres de la stratégie Groupes restreints est supprimé. Cela peut inclure les membres par défaut, tels que les administrateurs. Les groupes restreints doivent être utilisés principalement pour configurer l’appartenance à des groupes locaux sur une station de travail ou des serveurs membres. Une liste membres vide signifie que le groupe restreint n’a aucun membre.
Attention
Vous ne pouvez pas supprimer le compte Administrateur intégré du groupe Administrateurs intégré. Si vous essayez de le supprimer, la commande échoue avec l’erreur suivante :
| Code d'erreur | Nom symbolique | Description de l’erreur | En-tête |
|---|---|---|---|
0x55b (Hexadécimal)1371 (Déc) |
ERROR_SPECIAL_ACCOUNT | Impossible d’effectuer cette opération sur les comptes intégrés. | winerror.h |
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeurs autorisées:
Développer pour afficher le code XML du schéma
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
<xs:simpleType name="member_name">
<xs:restriction base="xs:string">
<xs:maxLength value="255" />
</xs:restriction>
</xs:simpleType>
<xs:element name="accessgroup">
<xs:complexType>
<xs:sequence>
<xs:element name="member" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group Member</xs:documentation>
</xs:annotation>
<xs:complexType>
<xs:attribute name="name" type="member_name" use="required" />
</xs:complexType>
</xs:element>
</xs:sequence>
<xs:attribute name="desc" type="member_name" use="required" />
</xs:complexType>
</xs:element>
<xs:element name="groupmembership">
<xs:complexType>
<xs:sequence>
<xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group</xs:documentation>
</xs:annotation>
</xs:element>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>
Exemple :
<groupmembership>
<accessgroup desc = "Group1">
<member name = "S-1-15-6666767-76767676767-666666777"/>
<member name = "contoso\Alice"/>
</accessgroup>
<accessgroup desc = "Group2">
<member name = "S-1-15-1233433-23423432423-234234324"/>
<member name = "contoso\Group3"/>
</accessgroup>
</groupmembership>
Descriptions des propriétés :
<accessgroup desc>contient le SID de groupe local ou le nom du groupe à configurer. Si un SID est spécifié ici, la stratégie utilise l’API LookupAccountName pour obtenir le nom du groupe local. Pour obtenir de meilleurs résultats, utilisez des noms pour<accessgroup desc>.<member name>contient les membres à ajouter au groupe dans<accessgroup desc>. Un membre peut être spécifié sous la forme d’un nom ou d’un SID. Pour de meilleurs résultats, utilisez un SID pour<member name>. Le SID membre peut être un compte d’utilisateur ou un groupe dans Active Directory, Microsoft Entra ID ou sur l’ordinateur local. Si un nom est spécifié ici, la stratégie tente d’obtenir le SID correspondant à l’aide de l’API LookupAccountSID . Le nom peut être utilisé pour un compte d’utilisateur ou un groupe dans Active Directory ou sur l’ordinateur local. L’appartenance est configurée à l’aide de l’API NetLocalGroupSetMembers .Dans cet exemple,
Group1etGroup2sont des groupes locaux sur l’appareil en cours de configuration, etGroup3est un groupe de domaines.
Remarque
Actuellement, la stratégie RestrictedGroups/ConfigureGroupMembership n’a pas de fonctionnalité MemberOf. Toutefois, vous pouvez ajouter un groupe de domaines en tant que membre à un groupe local à l’aide de la partie membre, comme illustré dans cet exemple.
Chronologie de stratégie :
Le comportement de ce paramètre de stratégie diffère selon les versions Windows 10. Pour Windows 10, version 1809 jusqu’à la version 1909, vous pouvez utiliser le nom dans <accessgroup desc> et le SID dans <member name>. Pour Windows 10, version 2004, vous pouvez utiliser le nom ou le SID pour les deux éléments, comme décrit dans l’exemple.
Le tableau suivant décrit le comportement de ce paramètre de stratégie dans différentes versions Windows 10 :
| Version de Windows 10 | Comportement de stratégie |
|---|---|
| Windows 10, version 1803 | Ajout de ce paramètre de stratégie. XML accepte le groupe et le membre uniquement par nom. Prend en charge la configuration du groupe Administrateurs à l’aide du nom du groupe. S’attend à ce que le nom du membre soit au format de nom de compte. |
| Windows 10, version 1809 Windows 10, version 1903 Windows 10 version 1909 |
Prend en charge la configuration d’un groupe local. <accessgroup desc> accepte uniquement le nom. <member name> accepte un nom ou un SID. Ce comportement est utile lorsque vous souhaitez vous assurer qu’un certain groupe local a toujours un SID connu en tant que membre. |
| Windows 10, version 2004 | Se comporte comme décrit dans cet article. Accepte le nom ou le SID pour le groupe et les membres et traduit le cas échéant. |
Articles connexes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour