原則 CSP - RestrictedGroups
重要
從 Windows 10 20H2 版開始,若要設定 Windows 本機群組的成員,請使用 LocalUsersandGroups 原則,而不是 RestrictedGroups 原則。 這些成員可以是使用者或 Microsoft Entra 群組。
請勿將這兩個原則套用至相同的裝置,不支援,而且可能會產生無法預期的結果。
ConfigureGroupMembership
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership
此安全性設定可讓系統管理員定義安全性 (受限制) 群組的成員。 強制執行受限制的群組原則時,會移除不在 [成員] 清單上之受限制群組的任何目前成員。 系統會新增 [成員] 清單中目前不是受限制群組成員的任何使用者。 您可以使用限制群組原則來控制群組成員資格。 使用原則,您可以指定哪些成員屬於群組。 在設定或重新整理期間,系統會移除原則中未指定的任何成員。 例如,您可以建立限制群組原則,只允許指定的使用者 (例如 Alice 和 John) 成為 Administrators 群組的成員。 重新整理原則時,只有 Alice 和 John 會保留為 Administrators 群組的成員。
注意
如果套用限制群組原則,則會移除不在 [限制群組] 原則成員清單中的任何目前成員。 這可以包含預設成員,例如系統管理員。 限制群組主要用來設定工作站或成員伺服器上本機群組的成員資格。 空白的 [成員] 列表表示受限制的群組沒有成員。
注意
您無法從內建的 Administrators 群組中移除內建的系統管理員帳戶。 如果您嘗試移除它,命令會失敗,並出現下列錯誤:
錯誤碼 | 符號名稱 | 錯誤描述 | 標頭 |
---|---|---|---|
0x55b (十六進位) 1371 (12 月) 日 |
ERROR_SPECIAL_ACCOUNT | 無法在內建帳戶上執行此作業。 | winerror.h |
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
允許的值:
展開以查看架構 XML
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
<xs:simpleType name="member_name">
<xs:restriction base="xs:string">
<xs:maxLength value="255" />
</xs:restriction>
</xs:simpleType>
<xs:element name="accessgroup">
<xs:complexType>
<xs:sequence>
<xs:element name="member" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group Member</xs:documentation>
</xs:annotation>
<xs:complexType>
<xs:attribute name="name" type="member_name" use="required" />
</xs:complexType>
</xs:element>
</xs:sequence>
<xs:attribute name="desc" type="member_name" use="required" />
</xs:complexType>
</xs:element>
<xs:element name="groupmembership">
<xs:complexType>
<xs:sequence>
<xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Restricted Group</xs:documentation>
</xs:annotation>
</xs:element>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>
範例:
<groupmembership>
<accessgroup desc = "Group1">
<member name = "S-1-15-6666767-76767676767-666666777"/>
<member name = "contoso\Alice"/>
</accessgroup>
<accessgroup desc = "Group2">
<member name = "S-1-15-1233433-23423432423-234234324"/>
<member name = "contoso\Group3"/>
</accessgroup>
</groupmembership>
屬性的描述:
<accessgroup desc>
包含要設定的本機群組 SID 或組名。 如果在這裡指定 SID,原則會使用 LookupAccountName API 來取得本機組名。 為了獲得最佳結果,請使用 的<accessgroup desc>
名稱。<member name>
包含要新增至 中群組<accessgroup desc>
的成員。 成員可以指定為名稱或 SID。 若要獲得最佳結果,請使用的 SID。<member name>
成員 SID 可以是 Active Directory、Microsoft Entra ID 或本機電腦上的用戶帳戶或群組。 如果在這裡指定名稱,原則會嘗試使用 LookupAccountSID API取得對應的SID。 名稱可用於 Active Directory 或本機電腦上的用戶帳戶或群組。 成員資格是使用 NetLocalGroupSetMembers API 來設定。在此範例中,
Group1
和Group2
是所設定裝置上的本機群組,而Group3
是網域群組。
注意
RestrictedGroups/ConfigureGroupMembership 原則目前沒有 MemberOf 功能。 不過,您可以使用 成員部分,將網域群組新增為本機群組的成員,如下列範例所示。
原則時程表:
此原則設定的行為在不同的 Windows 10 版本中有所不同。 針對 Windows 10 版本 1809 到 1909 版,您可以在 中使用 名稱,並在 <accessgroup desc>
中<member name>
使用 SID。 針對 Windows 10 版本 2004,您可以針對這兩個元素使用名稱或 SID,如範例中所述。
下表描述此原則設定在不同 Windows 10 版本中的行為:
Windows 10 版本 | 原則行為 |
---|---|
Windows 10 版本 1803 | 已新增此原則設定。 XML 只接受依名稱的群組和成員。 支援使用組名設定系統管理員群組。 預期成員名稱為帳戶名稱格式。 |
Windows 10 版本 1809 Windows 10 版本 1903 Windows 10 版本 1909 |
支援設定任何本機群組。 <accessgroup desc> 只接受名稱。 <member name> 接受名稱或 SID。 當您想要確定特定本機群組一律具有已知的 SID 作為成員時,此行為非常有用。 |
Windows 10 版本 2004 | 行為如本文所述。 接受群組和成員的名稱或 SID,並適當地轉譯。 |