Política CSP – Grupos Restritos
Importante
A partir de Windows 10, versão 20H2, para configurar membros de grupos locais do Windows, use a política LocalUsersandGroups em vez da política RestrictedGroups. Esses membros podem ser usuários ou grupos de Microsoft Entra.
Não aplique ambas as políticas ao mesmo dispositivo, ela não tem suporte e pode gerar resultados imprevisíveis.
ConfigurarGroupMembership
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership
Essa configuração de segurança permite que um administrador defina os membros de um grupo sensível à segurança (restrito). Quando uma Política de Grupos Restritos é imposta, qualquer membro atual de um grupo restrito que não esteja na lista de membros é removido. Qualquer usuário na lista Membros que não é atualmente um membro do grupo restrito é adicionado. Você pode usar a política Grupos Restritos para controlar a associação de grupos. Usando a política, você pode especificar quais membros fazem parte de um grupo. Todos os membros que não são especificados na política são removidos durante a configuração ou atualização. Por exemplo, você pode criar uma política de Grupos Restritos para permitir apenas que usuários especificados (por exemplo, Alice e John) sejam membros do grupo Administradores. Quando a política for atualizada, apenas Alice e John permanecerão como membros do grupo Administradores.
Cuidado
Se uma política de Grupos Restritos for aplicada, qualquer membro atual que não estiver na lista de membros da política grupos restritos será removido. Isso pode incluir membros padrão, como administradores. Grupos restritos devem ser usados principalmente para configurar a associação de grupos locais em servidores de estação de trabalho ou membros. Uma lista de membros vazia significa que o grupo restrito não tem membros.
Cuidado
Você não pode remover a conta interna do Administrador do grupo administradores internos. Se você tentar removê-lo, o comando falhará com o seguinte erro:
Código de Erro | Nome simbólico | Descrição do erro | Cabeçalho |
---|---|---|---|
0x55b (Hex)1371 (Dez) |
ERROR_SPECIAL_ACCOUNT | Não é possível executar essa operação em contas internas. | winerror.h |
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato |
chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valores Permitidos:
Expandir para ver o esquema XML
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
<xs:simpleType name="member_name">
<xs:restriction base="xs:string">
<xs:maxLength value="255" />
</xs:restriction>
</xs:simpleType>
<xs:element name="accessgroup">
<xs:complexType>
<xs:sequence>
<xs:element name="member" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group Member</xs:documentation>
</xs:annotation>
<xs:complexType>
<xs:attribute name="name" type="member_name" use="required" />
</xs:complexType>
</xs:element>
</xs:sequence>
<xs:attribute name="desc" type="member_name" use="required" />
</xs:complexType>
</xs:element>
<xs:element name="groupmembership">
<xs:complexType>
<xs:sequence>
<xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group</xs:documentation>
</xs:annotation>
</xs:element>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>
Exemplo:
<groupmembership>
<accessgroup desc = "Group1">
<member name = "S-1-15-6666767-76767676767-666666777"/>
<member name = "contoso\Alice"/>
</accessgroup>
<accessgroup desc = "Group2">
<member name = "S-1-15-1233433-23423432423-234234324"/>
<member name = "contoso\Group3"/>
</accessgroup>
</groupmembership>
Descrições das propriedades:
<accessgroup desc>
contém o SID do grupo local ou o nome do grupo a ser configurado. Se um SID for especificado aqui, a política usará a API LookupAccountName para obter o nome do grupo local. Para obter melhores resultados, use nomes para<accessgroup desc>
.<member name>
contém os membros a serem adicionados ao grupo em<accessgroup desc>
. Um membro pode ser especificado como um nome ou como UM SID. Para obter melhores resultados, use um SID para<member name>
. O SID membro pode ser uma conta de usuário ou um grupo no Active Directory, Microsoft Entra ID ou no computador local. Se um nome for especificado aqui, a política tentará obter o SID correspondente usando a API LookupAccountSID . O nome pode ser usado para uma conta de usuário ou um grupo no Active Directory ou no computador local. A associação é configurada usando a API NetLocalGroupSetMembers .Neste exemplo,
Group1
eGroup2
são grupos locais no dispositivo que está sendo configurado eGroup3
é um grupo de domínio.
Observação
Atualmente, a política RestrictedGroups/ConfigureGroupMembership não tem uma funcionalidade MemberOf. No entanto, você pode adicionar um grupo de domínio como membro a um grupo local usando a parte membro, conforme mostrado neste exemplo.
Política linha do tempo:
O comportamento dessa configuração de política difere em diferentes versões Windows 10. Para Windows 10, versão 1809 por meio da versão 1909, você pode usar o nome e <accessgroup desc>
o SID no <member name>
. Para Windows 10, versão 2004, você pode usar o nome ou o SID para ambos os elementos, conforme descrito no exemplo.
A tabela a seguir descreve como essa configuração de política se comporta em diferentes Windows 10 versões:
Versão do Windows 10 | Comportamento da política |
---|---|
Windows 10, versão 1803 | Adicionado essa configuração de política. O XML aceita grupo e membro apenas pelo nome. Dá suporte à configuração do grupo de administradores usando o nome do grupo. Espera que o nome do membro esteja no formato de nome da conta. |
Windows 10, versão 1809 Windows 10, versão 1903 Windows 10, versão 1909 |
Dá suporte à configuração de qualquer grupo local. <accessgroup desc> aceita apenas o nome. <member name> aceita um nome ou um SID. Esse comportamento é útil quando você deseja garantir que um determinado grupo local sempre tenha um SID conhecido como membro. |
Windows 10, versão 2004 | Comporta-se conforme descrito neste artigo. Aceita nome ou SID para grupo e membros e se traduz conforme apropriado. |