정책 CSP - RestrictedGroups
중요
Windows 10 버전 20H2부터 Windows 로컬 그룹의 멤버를 구성하려면 RestrictedGroups 정책 대신 LocalUsersandGroups 정책을 사용합니다. 이러한 멤버는 사용자 또는 Microsoft Entra 그룹일 수 있습니다.
두 정책을 모두 동일한 디바이스에 적용하지 마세요. 지원되지 않으며 예측할 수 없는 결과가 발생할 수 있습니다.
ConfigureGroupMembership
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 1803 [10.0.17134] 이상 |
./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership
이 보안 설정을 사용하면 관리자가 보안에 민감한(제한된) 그룹의 멤버를 정의할 수 있습니다. 제한된 그룹 정책이 적용되면 구성원 목록에 없는 제한된 그룹의 현재 멤버가 제거됩니다. 현재 제한된 그룹의 멤버가 아닌 멤버 목록의 모든 사용자가 추가됩니다. 제한된 그룹 정책을 사용하여 그룹 멤버 자격을 제어할 수 있습니다. 정책을 사용하여 그룹의 구성원을 지정할 수 있습니다. 정책에 지정되지 않은 멤버는 구성 또는 새로 고침 중에 제거됩니다. 예를 들어 지정된 사용자(예: Alice 및 John)만 Administrators 그룹의 구성원이 되도록 제한된 그룹 정책을 만들 수 있습니다. 정책을 새로 고치면 Alice와 John만 Administrators 그룹의 구성원으로 유지됩니다.
주의
제한된 그룹 정책이 적용되는 경우 제한된 그룹 정책 구성원 목록에 없는 현재 멤버가 제거됩니다. 여기에는 관리자와 같은 기본 멤버가 포함될 수 있습니다. 제한된 그룹은 주로 워크스테이션 또는 멤버 서버에서 로컬 그룹의 멤버 자격을 구성하는 데 사용해야 합니다. 빈 멤버 목록은 제한된 그룹에 멤버가 없음을 의미합니다.
주의
기본 제공 Administrators 그룹에서 기본 제공 관리자 계정을 제거할 수 없습니다. 제거하려고 하면 다음 오류와 함께 명령이 실패합니다.
| 오류 코드 | 기호 이름 | 오류 설명 | 헤더 |
|---|---|---|---|
0x55b (16진수)1371 (12월) |
ERROR_SPECIAL_ACCOUNT | 기본 제공 계정에서 이 작업을 수행할 수 없습니다. | winerror.h |
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 |
chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
허용되는 값:
스키마 XML을 보려면 확장
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
<xs:simpleType name="member_name">
<xs:restriction base="xs:string">
<xs:maxLength value="255" />
</xs:restriction>
</xs:simpleType>
<xs:element name="accessgroup">
<xs:complexType>
<xs:sequence>
<xs:element name="member" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group Member</xs:documentation>
</xs:annotation>
<xs:complexType>
<xs:attribute name="name" type="member_name" use="required" />
</xs:complexType>
</xs:element>
</xs:sequence>
<xs:attribute name="desc" type="member_name" use="required" />
</xs:complexType>
</xs:element>
<xs:element name="groupmembership">
<xs:complexType>
<xs:sequence>
<xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group</xs:documentation>
</xs:annotation>
</xs:element>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>
예:
<groupmembership>
<accessgroup desc = "Group1">
<member name = "S-1-15-6666767-76767676767-666666777"/>
<member name = "contoso\Alice"/>
</accessgroup>
<accessgroup desc = "Group2">
<member name = "S-1-15-1233433-23423432423-234234324"/>
<member name = "contoso\Group3"/>
</accessgroup>
</groupmembership>
속성에 대한 설명:
<accessgroup desc>에는 구성할 로컬 그룹 SID 또는 그룹 이름이 포함됩니다. 여기서 SID를 지정하면 정책은 LookupAccountName API를 사용하여 로컬 그룹 이름을 가져옵니다. 최상의 결과를 위해 의<accessgroup desc>이름을 사용합니다.<member name>에는 의 그룹에 추가할 멤버가 포함되어 있습니다<accessgroup desc>. 멤버를 이름 또는 SID로 지정할 수 있습니다. 최상의 결과를 위해 에<member name>SID를 사용합니다. 멤버 SID는 Active Directory, Microsoft Entra ID 또는 로컬 컴퓨터의 사용자 계정 또는 그룹일 수 있습니다. 여기에 이름을 지정하면 정책은 LookupAccountSID API를 사용하여 해당 SID를 가져옵니다. 이름은 Active Directory 또는 로컬 컴퓨터의 사용자 계정 또는 그룹에 사용할 수 있습니다. 멤버 자격은 NetLocalGroupSetMembers API를 사용하여 구성됩니다.이 예제
Group1에서 및Group2는 구성 중인 디바이스의 로컬 그룹이며Group3도메인 그룹입니다.
참고
현재 RestrictedGroups/ConfigureGroupMembership 정책에는 MemberOf 기능이 없습니다. 그러나 이 예제와 같이 멤버 부분을 사용하여 도메인 그룹을 로컬 그룹에 구성원으로 추가할 수 있습니다.
정책 타임라인:
이 정책 설정의 동작은 다른 Windows 10 버전에서 다릅니다. 버전 1909까지 Windows 10, 버전 1809 의 이름 및 의 <accessgroup desc> SID를 <member name>사용할 수 있습니다. Windows 10 버전 2004의 경우 예제에 설명된 대로 두 요소 모두에 이름 또는 SID를 사용할 수 있습니다.
다음 표에서는 이 정책 설정이 다른 Windows 10 버전에서 작동하는 방식을 설명합니다.
| Windows 10 버전 | 정책 동작 |
|---|---|
| Windows 10, 버전 1803 | 이 정책 설정을 추가했습니다. XML은 이름으로만 그룹 및 멤버를 허용합니다. 그룹 이름을 사용하여 관리자 그룹 구성을 지원합니다. 멤버 이름이 계정 이름 형식이어야 합니다. |
| Windows 10, 버전 1809 Windows 10, 버전 1903 Windows 10, 버전 1909 |
모든 로컬 그룹 구성을 지원합니다. <accessgroup desc> 는 이름만 허용합니다. <member name> 는 이름 또는 SID를 허용합니다. 이 동작은 특정 로컬 그룹에 항상 잘 알려진 SID가 멤버로 있는지 확인하려는 경우에 유용합니다. |
| Windows 10, 버전 2004 | 이 문서에 설명된 대로 동작합니다. 그룹 및 멤버의 이름 또는 SID를 수락하고 적절하게 변환합니다. |