ポリシー CSP - RestrictedGroups
重要
バージョン 20H2 Windows 10以降、Windows ローカル グループのメンバーを構成するには、RestrictedGroups ポリシーではなく LocalUsersandGroups ポリシーを使用します。 これらのメンバーには、ユーザーまたはMicrosoft Entra グループを指定できます。
両方のポリシーを同じデバイスに適用しないでください。サポートされていないため、予期しない結果が得られる可能性があります。
ConfigureGroupMembership
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10、バージョン 1803 [10.0.17134] 以降 |
./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership
このセキュリティ設定を使用すると、管理者はセキュリティに依存する (制限された) グループのメンバーを定義できます。 制限付きグループ ポリシーが適用されると、[メンバー] リストにない制限付きグループの現在のメンバーはすべて削除されます。 現在制限付きグループのメンバーではないメンバー リストのユーザーが追加されます。 制限付きグループ ポリシーを使用して、グループ メンバーシップを制御できます。 ポリシーを使用して、グループの一部であるメンバーを指定できます。 ポリシーで指定されていないメンバーは、構成または更新中に削除されます。 たとえば、制限付きグループ ポリシーを作成して、指定されたユーザー (Alice や John など) のみを Administrators グループのメンバーにすることを許可できます。 ポリシーが更新されると、Alice と John のみが Administrators グループのメンバーとして残ります。
注意
制限付きグループ ポリシーが適用されている場合、制限付きグループ ポリシー メンバーリストにない現在のメンバーはすべて削除されます。 これには、管理者などの既定のメンバーを含めることができます。 制限付きグループは、主にワークステーションまたはメンバー サーバー上のローカル グループのメンバーシップを構成するために使用する必要があります。 空のメンバー リストは、制限されたグループにメンバーがないことを意味します。
注意
組み込みの Administrators グループから組み込みの管理者アカウントを削除することはできません。 削除しようとすると、コマンドは失敗し、次のエラーが発生します。
| エラー コード | シンボリック名 | エラーの説明 | ヘッダー |
|---|---|---|---|
0x55b (16 進)1371 (12 月) |
ERROR_SPECIAL_ACCOUNT | 組み込みアカウントでこの操作を実行できません。 | winerror.h |
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
指定可能な値
展開してスキーマ XML を表示する
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
<xs:simpleType name="member_name">
<xs:restriction base="xs:string">
<xs:maxLength value="255" />
</xs:restriction>
</xs:simpleType>
<xs:element name="accessgroup">
<xs:complexType>
<xs:sequence>
<xs:element name="member" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group Member</xs:documentation>
</xs:annotation>
<xs:complexType>
<xs:attribute name="name" type="member_name" use="required" />
</xs:complexType>
</xs:element>
</xs:sequence>
<xs:attribute name="desc" type="member_name" use="required" />
</xs:complexType>
</xs:element>
<xs:element name="groupmembership">
<xs:complexType>
<xs:sequence>
<xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group</xs:documentation>
</xs:annotation>
</xs:element>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>
例:
<groupmembership>
<accessgroup desc = "Group1">
<member name = "S-1-15-6666767-76767676767-666666777"/>
<member name = "contoso\Alice"/>
</accessgroup>
<accessgroup desc = "Group2">
<member name = "S-1-15-1233433-23423432423-234234324"/>
<member name = "contoso\Group3"/>
</accessgroup>
</groupmembership>
プロパティの説明:
<accessgroup desc>には、構成するローカル グループ SID またはグループ名が含まれます。 SID がここで指定されている場合、ポリシーは LookupAccountName API を使用してローカル グループ名を取得します。 最適な結果を得るには、 の名前を使用します<accessgroup desc>。<member name>には、 のグループ<accessgroup desc>に追加するメンバーが含まれています。 メンバーは、名前または SID として指定できます。 最適な結果を得るには、 の SID を使用します<member name>。 メンバー SID には、Active Directory、Microsoft Entra ID、またはローカル コンピューターのユーザー アカウントまたはグループを指定できます。 ここで名前を指定すると、 ポリシーは LookupAccountSID API を使用して対応する SID を取得しようとします。 名前は、Active Directory またはローカル コンピューターのユーザー アカウントまたはグループに使用できます。 メンバーシップは、 NetLocalGroupSetMembers API を使用して構成されます。この例では、
Group1Group2と は、構成されているデバイス上のローカル グループでありGroup3、ドメイン グループです。
注
現在、RestrictedGroups/ConfigureGroupMembership ポリシーには MemberOf 機能がありません。 ただし、この例に示すように、メンバー部分を使用して、ドメイン グループをメンバーとしてローカル グループに追加できます。
ポリシー タイムライン:
このポリシー設定の動作は、Windows 10バージョンによって異なります。 バージョン 1909 までのWindows 10 Version 1809の場合は、 で と SID <member name>で<accessgroup desc>名前を使用できます。 バージョン 2004 Windows 10では、例で説明されているように、両方の要素に名前または SID を使用できます。
次の表は、このポリシー設定が異なるWindows 10 バージョンでどのように動作するかを示しています。
| Windows 10 のバージョン | ポリシーの動作 |
|---|---|
| Windows 10 Version 1803 | このポリシー設定を追加しました。 XML は、名前でのみグループとメンバーを受け入れます。 グループ名を使用した管理者グループの構成をサポートします。 メンバー名がアカウント名の形式である必要があります。 |
| Windows 10 Version 1809 Windows 10 Version 1903 Windows 10 Version 1909 |
任意のローカル グループの構成をサポートします。 <accessgroup desc> は名前のみを受け入れます。 <member name> は、名前または SID を受け入れます。 この動作は、特定のローカル グループにメンバーとしてよく知られている SID が常に含まれていることを確認する場合に便利です。 |
| Windows 10 バージョン 2004 | この記事の説明に従って動作します。 グループとメンバーの名前または SID を受け入れ、必要に応じて変換します。 |