Provider di servizi di configurazione dei criteri - LocalUsersAndGroups

Configurazione

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 20H2 [10.0.19042] e versioni successive
./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure

Questa impostazione consente a un amministratore di gestire i gruppi locali in un dispositivo. Impostazioni possibili:

  1. Aggiornare l'appartenenza al gruppo: aggiornare un gruppo e aggiungere e/o rimuovere membri tramite l'azione "U". Quando si usa Update, i membri del gruppo esistenti non specificati nei criteri rimangono invariati.
  2. Sostituisci appartenenza al gruppo: limita un gruppo sostituendo l'appartenenza al gruppo tramite l'azione "R". Quando si usa Sostituisci, l'appartenenza al gruppo esistente viene sostituita dall'elenco di membri specificato nella sezione aggiungi membro. Questa opzione funziona allo stesso modo di un gruppo con restrizioni e tutti i membri del gruppo non specificati nei criteri vengono rimossi.

Attenzione

Se lo stesso gruppo è configurato sia con Replace che con Update, sostituisci vincerà.

Nota

L'impostazione dei criteri RestrictedGroups/ConfigureGroupMembership consente anche di configurare i membri (utenti o gruppi di Microsoft Entra) in un gruppo locale di Windows 10. Tuttavia, consente solo una sostituzione completa dei gruppi esistenti con i nuovi membri e non consente l'aggiunta o la rimozione selettiva.

A partire da Windows 10 versione 20H2, è consigliabile usare i criteri LocalUsersAndGroups anziché i criteri RestrictedGroups. L'applicazione di entrambi i criteri allo stesso dispositivo non è supportata e può produrre risultati imprevedibili.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Valori consentiti:


Espandere per visualizzare l'XML dello schema
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
  <xs:simpleType name="name">
    <xs:restriction base="xs:string">
      <xs:maxLength value="255" />
    </xs:restriction>
  </xs:simpleType>
  <xs:element name="accessgroup">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="group" minOccurs="1" maxOccurs="1">
          <xs:annotation>
            <xs:documentation>Group Configuration Action</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="action" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="add" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group Member to Add</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="member" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="remove" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group Member to Remove</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="member" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="property" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group property to configure</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="desc" type="name" use="required" />
            <xs:attribute name="value" type="name" use="required" />
          </xs:complexType>
        </xs:element>
      </xs:sequence>
      <xs:attribute name="desc" type="name" use="required" />
    </xs:complexType>
  </xs:element>
  <xs:element name="GroupConfiguration">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Local Group Configuration</xs:documentation>
          </xs:annotation>
        </xs:element>
      </xs:sequence>
    </xs:complexType>
  </xs:element>
</xs:schema>

Esempi:

Di seguito è riportato un esempio del codice XML di definizione dei criteri per la configurazione del gruppo:

<GroupConfiguration>
    <accessgroup desc = "">
        <group action = ""/>
            <add member = ""/>
            <remove member = ""/>
    </accessgroup>
</GroupConfiguration>

dove:

  • <accessgroup desc>: specifica il nome o il SID del gruppo locale da configurare. Se si specifica un SID, l'API LookupAccountSid viene usata per convertire il SID in un nome di gruppo valido. Se si specifica un nome, l'API LookupAccountName viene usata per cercare il gruppo e convalidare il nome. Se la ricerca nome/SID non riesce, il gruppo viene ignorato e viene elaborato il gruppo successivo nel file XML. Se sono presenti più errori, l'ultimo errore viene restituito alla fine dell'elaborazione dei criteri.

  • <group action>: specifica l'azione da eseguire sul gruppo locale, che può essere Update e Restrict, rappresentato dall'utente e da R:

    • Aggiornamento. Questa azione deve essere usata per mantenere intatta l'appartenenza al gruppo corrente e aggiungere o rimuovere membri del gruppo specifico.
    • Limitare. Questa azione deve essere usata per sostituire l'appartenenza corrente con i gruppi appena specificati. Questa azione offre la stessa funzionalità dell'impostazione dei criteri RestrictedGroups/ConfigureGroupMembership .
  • <add member>: specifica il SID o il nome del membro da configurare.

  • <remove member>: specifica il SID o il nome del membro da rimuovere dal gruppo specificato.

    Nota

    Quando si specificano i nomi dei membri degli account utente, è necessario usare il formato seguente: AzureAD\userUPN. Ad esempio, "AzureAD\user1@contoso.com" o "AzureAD\user2@contoso.co.uk". Per aggiungere i gruppi di Microsoft Entra, è necessario specificare il SID del gruppo Microsoft Entra. I nomi dei gruppi di Microsoft Entra non sono supportati con questo criterio. Per altre informazioni, vedere Funzione LookupAccountNameA.

Per informazioni su come creare profili personalizzati, vedere Usare le impostazioni personalizzate per i dispositivi Windows 10 in Intune .

Importante

  • <add member> e <remove member> può usare un SID di Microsoft Entra o il nome dell'utente. Per aggiungere o rimuovere i gruppi di Microsoft Entra usando questo criterio, è necessario usare il SID del gruppo. I SID del gruppo Microsoft Entra possono essere ottenuti usando l'API Graph per i gruppi. Il SID è presente nell'attributo securityIdentifier .
  • Quando si specifica un SID in <add member> o <remove member>, i SID dei membri vengono aggiunti senza tentare di risolverli. Pertanto, prestare molta attenzione quando si specifica un SID per assicurarsi che sia corretto.
  • <remove member> non è valido per l'azione R (Limita) e verrà ignorato se presente.
  • L'elenco nel codice XML viene elaborato nell'ordine specificato, ad eccezione delle azioni R, che vengono elaborate per ultime per assicurarsi che vincono. Significa anche che, se un gruppo è presente più volte con valori di aggiunta/rimozione diversi, tutti verranno elaborati nell'ordine in cui sono presenti.

Esempio 1: Stato attivo di Microsoft Entra ID.

Nell'esempio seguente viene aggiornato il gruppo administrators predefinito con il SID S-1-5-21-2222222222-3333333333-44444444444-500 con un account Microsoft Entra "bob@contoso.com" e un Gruppo Microsoft Entra con SID S-1-12-1-1111111111-22222222222-333333333333-444444444 in un computer aggiunto a Microsoft Entra.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "U" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
    </accessgroup>
</GroupConfiguration>

Esempio 2: Sostituire/limitare il gruppo administrators predefinito con un account utente Microsoft Entra.

Nota

Quando si usa l'opzione di sostituzione "R" per configurare il gruppo Administrators predefinito con SID S-1-5-21-2222222222-33333333333-444444444-500 , è consigliabile specificare sempre l'amministratore come membro più qualsiasi altro membro personalizzato. Ciò è necessario perché l'amministratore predefinito deve essere sempre membro del gruppo administrators.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "R" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "Administrator"/>
    </accessgroup>
</GroupConfiguration>

Esempio 3: Azione di aggiornamento per l'aggiunta e la rimozione di membri del gruppo in un computer aggiunto ibrido.

L'esempio seguente illustra come aggiornare un gruppo locale (Administrators con il SID S-1-5-21-22222222222-3333333333-444444444-500) - Aggiungere un gruppo di dominio AD come membro usando il nome (Contoso\IT)Admins), aggiungere un gruppo Microsoft Entra dal relativo SID (S-1-12-1-1111111111-22222222222-333333333-444444444444) e rimuovere un account locale (Guest) se esistente.

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "U" />
        <add member = "Contoso\ITAdmins"/>
        <add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
        <remove member = "Guest"/>
    </accessgroup>
</GroupConfiguration>

Nota

Quando i SID del gruppo Microsoft Entra vengono aggiunti ai gruppi locali, i privilegi di accesso dell'account Microsoft Entra vengono valutati solo per i gruppi noti seguenti in un dispositivo Windows 10:

  • Administrators
  • Utenti
  • Guest
  • Utenti di Power
  • Utenti di Desktop remoto
  • Utenti di gestione remota

Domande frequenti

In questa sezione vengono fornite risposte ad alcune domande comuni sul provider di servizi di configurazione dei criteri LocalUsersAndGroups.

Cosa accade se si rimuove accidentalmente il SID amministratore predefinito dal gruppo Administrators?

La rimozione dell'account amministratore predefinito dal gruppo Administrators predefinito viene bloccata a livello SAM/sistema operativo per motivi di sicurezza. Se si tenta di eseguire questa operazione, si verificherà un errore con l'errore seguente:

Codice di errore Nome simbolico Descrizione errore Intestazione
0x55b (Esadecimale)
1371 (Dicembre)
ERROR_SPECIAL_ACCOUNT Impossibile eseguire questa operazione negli account predefiniti. winerror.h

Quando si configura il gruppo Administrators predefinito con l'azione R (Restrict), specificare il SID/Nome dell'account amministratore predefinito in <add member> per evitare questo errore.

È possibile aggiungere un membro già esistente?

Sì, è possibile aggiungere un membro che è già membro di un gruppo. In questo modo non verranno apportate modifiche al gruppo e non verranno visualizzati errori.

È possibile rimuovere un membro se non è un membro del gruppo?

Sì, è possibile rimuovere un membro anche se non è un membro del gruppo. In questo modo non verranno apportate modifiche al gruppo e non verranno visualizzati errori.

Come è possibile aggiungere un gruppo di dominio come membro a un gruppo locale?

Per aggiungere un gruppo di dominio come membro a un gruppo locale, specificare il gruppo di dominio nel <add member> gruppo locale. Per ottenere risultati ottimali, usare nomi di account completi (ad esempio, domain_name\group_name) anziché nomi isolati ,ad esempio group_name. Per altre informazioni, vedere Funzione LookupAccountNameA .

È possibile applicare più criteri/XML LocalUserAndGroups allo stesso dispositivo?

No, questo non è consentito. Se si tenta di eseguire questa operazione, si verificherà un conflitto in Intune.

Cosa accade se si specifica un nome di gruppo che non esiste?

I nomi di gruppo o i SID non validi verranno ignorati. Verranno applicate parti valide del criterio e verrà restituito un errore alla fine dell'elaborazione. Questo comportamento è allineato ai criteri LocalUsersAndGroups di AD GPP (Preferenze di Criteri di gruppo) in locale. Analogamente, i nomi dei membri non validi verranno ignorati e alla fine verrà restituito un errore per notificare che non tutte le impostazioni sono state applicate correttamente.

Cosa accade se si specifica R e U nello stesso XML?

Se si specifica sia R che U nello stesso codice XML, l'azione R (Restrict) ha la precedenza su U (aggiornamento). Pertanto, se un gruppo viene visualizzato due volte nel codice XML, una volta con l'utente e di nuovo con R, l'azione R vince.

Come si controlla il risultato di un criterio applicato nel dispositivo client?

Dopo aver applicato un criterio nel dispositivo client, è possibile analizzare il registro eventi per esaminare il risultato:

  1. Aprire visualizzatore eventi (eventvwr.exe).
  2. Passare a Registri applicazioni e servizi>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Admin.
  3. Cercare la LocalUsersAndGroups stringa per esaminare i dettagli pertinenti.

Come è possibile risolvere i problemi relativi alle API di ricerca nome/SID?

Per risolvere i problemi relativi alle API di ricerca nome/SID:

  1. Abilitare lsp.log nel dispositivo client eseguendo i comandi seguenti:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -Force
    

    Verrà visualizzato il file lsp.log (C:\windows\debug\lsp.log). Questo file di log tiene traccia della risoluzione SID-Name.

  2. Disattivare la registrazione eseguendo il comando seguente:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force
    

Provider del servizio di configurazione dei criteri