通过

策略 CSP - 受限组

  • 项目

重要提示

从 Windows 10 版本 20H2 开始,若要配置 Windows 本地组的成员,请使用 LocalUsersandGroups 策略,而不是 RestrictedGroups 策略。 这些成员可以是用户或Microsoft Entra组。

不要将这两个策略应用于同一设备,它不受支持,并且可能会产生不可预知的结果。

ConfigureGroupMembership

范围 版本 适用的操作系统
✅ 设备
❌ 用户		 ✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC		 ✅Windows 10版本 1803 [10.0.17134] 及更高版本 
./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership

此安全设置允许管理员定义安全敏感 (受限) 组的成员。 强制实施受限组策略时,将删除未在成员列表上的受限组的任何当前成员。 将添加“成员”列表中当前不是受限组成员的任何用户。 可以使用受限的组策略来控制组成员身份。 使用该策略,可以指定哪些成员属于组。 在配置或刷新期间,将删除策略中未指定的任何成员。 例如,可以创建受限组策略,以仅允许指定用户 (例如 Alice 和 John) 成为 Administrators 组的成员。 刷新策略时,只有 Alice 和 John 将保持为管理员组的成员。

注意

如果应用了“受限的组”策略,则会删除不在“受限的组”策略成员列表中的任何当前成员。 这可以包括默认成员,例如管理员。 受限组应主要用于在工作站或成员服务器上配置本地组的成员身份。 空成员列表意味着受限组没有成员。

注意

无法从内置管理员组中删除内置管理员帐户。 如果尝试将其删除,该命令将失败并出现以下错误:

错误代码 符号名称 错误描述 标题
0x55b (十六进制)
1371 (12 月) 日		 ERROR_SPECIAL_ACCOUNT 无法对内置帐户执行此操作。 winerror.h

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

允许的值:


展开以查看架构 XML 
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
  <xs:simpleType name="member_name">
    <xs:restriction base="xs:string">
      <xs:maxLength value="255" />
    </xs:restriction>
  </xs:simpleType>
  <xs:element name="accessgroup">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="member" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Restricted Group Member</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="name" type="member_name" use="required" />
          </xs:complexType>
        </xs:element>
      </xs:sequence>
      <xs:attribute name="desc" type="member_name" use="required" />
    </xs:complexType>
  </xs:element>
  <xs:element name="groupmembership">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Restricted Group</xs:documentation>
          </xs:annotation>
        </xs:element>
      </xs:sequence>
    </xs:complexType>
  </xs:element>
</xs:schema>

示例

<groupmembership>
    <accessgroup desc = "Group1">
        <member name = "S-1-15-6666767-76767676767-666666777"/>
        <member name = "contoso\Alice"/>
    </accessgroup>
    <accessgroup desc = "Group2">
        <member name = "S-1-15-1233433-23423432423-234234324"/>
        <member name = "contoso\Group3"/>
    </accessgroup>
</groupmembership>

属性的说明:

  • <accessgroup desc> 包含要配置的本地组 SID 或组名称。 如果在此处指定了 SID,则策略将使用 LookupAccountName API 来获取本地组名称。 为获得最佳结果,请使用 的名称 <accessgroup desc>

  • <member name> 包含要添加到 中的 <accessgroup desc>组的成员。 可以将成员指定为名称或 SID。 为获得最佳结果,请对 <member name>使用 SID。 成员 SID 可以是 Active Directory、Microsoft Entra ID 或本地计算机上的用户帐户或组。 如果在此处指定了名称,策略将尝试使用 LookupAccountSID API 获取相应的 SID。 名称可用于 Active Directory 或本地计算机上的用户帐户或组。 使用 NetLocalGroupSetMembers API 配置成员身份。

  • 在此示例中, Group1Group2 是正在配置的设备上的本地组,是 Group3 域组。

注意

目前,RestrictedGroups/ConfigureGroupMembership 策略没有 MemberOf 功能。 但是,可以使用成员部分将域组作为成员添加到本地组,如以下示例所示。

策略时间线

此策略设置的行为因Windows 10版本而异。 对于Windows 10 版本 1809到版本 1909,可以在 中使用 <accessgroup desc> name,在 中使用 <member name>SID。 对于Windows 10版本 2004,可以对这两个元素使用名称或 SID,如示例中所述。

下表介绍了此策略设置在不同Windows 10版本中的行为方式:

Windows 10 版本 策略行为
Windows 10 版本 1803 添加了此策略设置。
XML 仅按名称接受组和成员。
支持使用组名称配置管理员组。
成员名称应采用帐户名称格式。
Windows 10 版本 1809
Windows 10 版本 1903
Windows 10 版本 1909		 支持配置任何本地组。
<accessgroup desc> 仅接受名称。
<member name> 接受名称或 SID。
如果要确保某个本地组始终将已知的 SID 作为成员,则此行为非常有用。
Windows 10 版本 2004 行为如本文所述。
接受组和成员的名称或 SID,并根据需要进行转换。

策略配置服务提供程序