Política CSP – LocalUsersAndGroups

  • Artigo

Configurar

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌		 Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅		 ✅Windows 10, versão 2009 [10.0.19042] e posterior 
./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure

Essa Configuração permite que um administrador gerencie grupos locais em um dispositivo. Configurações possíveis:

  1. Atualizar Associação de Grupo: atualize um grupo e adicione e/ou remova membros por meio da ação 'U'. Ao usar o Update, os membros de grupo existentes que não são especificados na política permanecem intocados.
  2. Substituir Associação de Grupo: restrinja um grupo substituindo a associação de grupo por meio da ação 'R'. Ao usar Substituir, a associação de grupo existente é substituída pela lista de membros especificados na seção adicionar membro. Essa opção funciona da mesma forma que um Grupo Restrito e todos os membros do grupo que não são especificados na política são removidos.

Cuidado

Se o mesmo grupo estiver configurado com Substituir e Atualizar, o Substitua ganhará.

Observação

A configuração da política RestrictedGroups/ConfigureGroupMembership também permite configurar membros (usuários ou grupos de Microsoft Entra) para um grupo local Windows 10. No entanto, ele permite apenas uma substituição completa dos grupos existentes pelos novos membros e não permite adicionar ou remover seletivamente.

A partir de Windows 10, versão 20H2, é recomendável usar a política LocalUsersAndGroups em vez da política RestrictedGroups. A aplicação das políticas ao mesmo dispositivo não tem suporte e pode gerar resultados imprevisíveis.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia de caracteres)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Valores Permitidos:


Expandir para ver o esquema XML 
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
  <xs:simpleType name="name">
    <xs:restriction base="xs:string">
      <xs:maxLength value="255" />
    </xs:restriction>
  </xs:simpleType>
  <xs:element name="accessgroup">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="group" minOccurs="1" maxOccurs="1">
          <xs:annotation>
            <xs:documentation>Group Configuration Action</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="action" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="add" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group Member to Add</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="member" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="remove" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group Member to Remove</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="member" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="property" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group property to configure</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="desc" type="name" use="required" />
            <xs:attribute name="value" type="name" use="required" />
          </xs:complexType>
        </xs:element>
      </xs:sequence>
      <xs:attribute name="desc" type="name" use="required" />
    </xs:complexType>
  </xs:element>
  <xs:element name="GroupConfiguration">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Local Group Configuration</xs:documentation>
          </xs:annotation>
        </xs:element>
      </xs:sequence>
    </xs:complexType>
  </xs:element>
</xs:schema>

Exemplos:

Aqui está um exemplo da definição de política XML para configuração de grupo:

<GroupConfiguration>
    <accessgroup desc = "">
        <group action = ""/>
            <add member = ""/>
            <remove member = ""/>
    </accessgroup>
</GroupConfiguration>

onde:

  • <accessgroup desc>: especifica o nome ou o SID do grupo local a ser configurado. Se você especificar um SID, a API LookupAccountSid será usada para traduzir o SID para um nome de grupo válido. Se você especificar um nome, a API LookupAccountName será usada para pesquisar o grupo e validar o nome. Se a pesquisa nome/SID falhar, o grupo será ignorado e o próximo grupo no arquivo XML será processado. Se houver vários erros, o último erro será retornado no final do processamento da política.

  • <group action>: especifica a ação a ser executada no grupo local, que pode ser Atualizar e Restringir, representado por você e R:

    • Update. Essa ação deve ser usada para manter a associação de grupo atual intacta e adicionar ou remover membros do grupo específico.
    • Restringir. Essa ação deve ser usada para substituir a associação atual pelos grupos recém-especificados. Essa ação fornece a mesma funcionalidade que a configuração da política RestrictedGroups/ConfigureGroupMembership .

  • <add member>: especifica o SID ou o nome do membro a ser configurado.

  • <remove member>: especifica o SID ou o nome do membro a ser removido do grupo especificado.

    Observação

    Ao especificar nomes de membro das contas de usuário, você deve usar o seguinte formato – AzureAD\userUPN. Por exemplo, "AzureAD\user1@contoso.com" ou "AzureAD\user2@contoso.co.uk". Para adicionar grupos de Microsoft Entra, você precisa especificar o SID do grupo Microsoft Entra. não há suporte para Microsoft Entra nomes de grupo com essa política. Para obter mais informações, consulte Função LookupAccountNameA.

Consulte Usar configurações personalizadas para dispositivos Windows 10 em Intune para obter informações sobre como criar perfis personalizados.

Importante

  • <add member>e <remove member> pode usar um SID Microsoft Entra ou o nome do usuário. Para adicionar ou remover grupos de Microsoft Entra usando essa política, você deve usar o SID do grupo. Microsoft Entra SIDs de grupo podem ser obtidos usando a API do Graph para Grupos. O SID está presente no securityIdentifier atributo.
  • Ao especificar um SID no ou <remove member>, os <add member> SIDs membros são adicionados sem tentar resolve-los. Portanto, tenha muito cuidado ao especificar um SID para garantir que ele esteja correto.
  • <remove member> não é válido para a ação R (Restrição) e será ignorado se estiver presente.
  • A lista no XML é processada na ordem determinada, exceto para as ações R, que são processadas por último para garantir que elas ganhem. Isso também significa que, se um grupo estiver presente várias vezes com valores diferentes de adição/remoção, todos eles serão processados na ordem em que estiverem presentes.

Exemplo 1: Microsoft Entra ID focado.

O exemplo a seguir atualiza o grupo de administradores internos com o SID S-1-5-21-22222222222-3333333333-444444444-500 com uma conta Microsoft Entra "bob@contoso.com" e uma Microsoft Entra grupo com o SID S-1-12-1-111111111-222222222222-3333333333-4444444444 em um Microsoft Entra máquina ingressada.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "U" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
    </accessgroup>
</GroupConfiguration>

Exemplo 2: Substituir / Restringir o grupo de administradores internos por uma conta de usuário Microsoft Entra.

Observação

Ao usar a opção de substituição 'R' para configurar o grupo administradores internos com o SID S-1-5-21-22222222222-33333333333-4444444444-500 , você sempre deve especificar o administrador como membro mais quaisquer outros membros personalizados. Isso é necessário porque o administrador interno deve sempre ser um membro do grupo de administradores.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "R" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "Administrator"/>
    </accessgroup>
</GroupConfiguration>

Exemplo 3: atualizar a ação para adicionar e remover membros do grupo em um computador híbrido ingressado.

O exemplo a seguir mostra como você pode atualizar um grupo local (Administradores com o SID S-1-5-21-22222222222-3333333333-444444444-500)— adicionar um grupo de domínio do AD como membro usando seu nome (Contoso\ITAdmins), adicione um grupo Microsoft Entra por seu SID (S-1-12-1-1111111111-222222222222-33333333333-4444444444) e remova uma conta local (Convidado) se ela existir.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "U" />
        <add member = "Contoso\ITAdmins"/>
        <add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
        <remove member = "Guest"/>
    </accessgroup>
</GroupConfiguration>

Observação

Quando os SID do grupo Microsoft Entra são adicionados a grupos locais, Microsoft Entra privilégios de logon de conta são avaliados apenas para os seguintes grupos conhecidos em um dispositivo Windows 10:

  • Administradores
  • Users
  • Convidados
  • Usuários do Power
  • Usuários da Área de Trabalho Remota
  • Usuários de Gerenciamento Remoto

Perguntas frequentes

Esta seção fornece respostas para algumas perguntas comuns que você pode ter sobre o CSP da política LocalUsersAndGroups.

O que acontece se eu remover acidentalmente o SID de administrador interno do grupo Administradores?

A remoção da conta interna do Administrador do grupo de administradores internos é bloqueada no nível sam/so por motivos de segurança. A tentativa de fazer isso resultará em falha com o seguinte erro:

Código de Erro Nome simbólico Descrição do erro Cabeçalho
0x55b (Hex)
1371 (dez)		 ERROR_SPECIAL_ACCOUNT Não é possível executar essa operação em contas internas. winerror.h

Ao configurar o grupo administradores internos com a ação R (Restringir), especifique o SID/Name <add member> da conta de administrador interno para evitar esse erro.

Posso adicionar um membro que já existe?

Sim, você pode adicionar um membro que já é membro de um grupo. Isso não resultará em alterações no grupo e nenhum erro.

Posso remover um membro se ele não for um membro do grupo?

Sim, você pode remover um membro mesmo que ele não seja um membro do grupo. Isso não resultará em alterações no grupo e nenhum erro.

Como posso adicionar um grupo de domínio como membro a um grupo local?

Para adicionar um grupo de domínio como membro a um grupo local, especifique o grupo de domínio no <add member> grupo local. Use nomes de conta totalmente qualificados (por exemplo, domain_name\group_name) em vez de nomes isolados (por exemplo, group_name) para obter os melhores resultados. Consulte a função LookupAccountNameA para obter mais informações.

Posso aplicar mais de uma política/XML de LocalUserAndGroups ao mesmo dispositivo?

Não, isso não é permitido. Tentar fazer isso resultará em um conflito no Intune.

O que acontecerá se eu especificar um nome de grupo que não existe?

Nomes de grupo inválidos ou SIDs serão ignorados. Partes válidas da política serão aplicadas e o erro será retornado no final do processamento. Esse comportamento se alinha à política localUsersAndGroups do AD gpp (preferências do Política de Grupo) no local. Da mesma forma, nomes de membro inválidos serão ignorados e o erro será retornado no final para notificar que nem todas as configurações foram aplicadas com êxito.

O que acontecerá se eu especificar R e U no mesmo XML?

Se você especificar R e U no mesmo XML, a ação R (Restrição) terá precedência sobre U (Atualização). Portanto, se um grupo aparecer duas vezes no XML, uma vez com você e novamente com R, a ação R vencerá.

Como fazer marcar o resultado de uma política aplicada no dispositivo cliente?

Depois que uma política é aplicada no dispositivo cliente, você pode investigar o log de eventos para examinar o resultado:

  1. Abra Visualizador de Eventos (eventvwr.exe).
  2. Navegue até Aplicativos e Serviços Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Administração.
  3. Pesquise a LocalUsersAndGroups cadeia de caracteres para examinar os detalhes relevantes.

Como posso solucionar problemas de APIs de pesquisa nome/SID?

Para solucionar problemas de APIs de pesquisa nome/SID:

  1. Habilite lsp.log no dispositivo cliente executando os seguintes comandos:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -Force

    O arquivo lsp.log (C:\windows\debug\lsp.log) será exibido. Esse arquivo de log rastreia a resolução SID-Name.

  2. Desative o log executando o seguinte comando:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force

Provedor de serviço da configuração de política