Поставщик служб CSP политики — RestrictedGroups

Важно.

Начиная с Windows 10 версии 20H2, чтобы настроить члены локальных групп Windows, используйте политику LocalUsersandGroups вместо политики RestrictedGroups. Это могут быть пользователи или Microsoft Entra группы.

Не применяйте обе политики к одному и тому же устройству, оно не поддерживается и может привести к непредсказуемым результатам.

ConfigureGroupMembership

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership

Этот параметр безопасности позволяет администратору определять членов группы с учетом безопасности (с ограниченным доступом). При принудительном применении политики ограниченных групп удаляется любой текущий член группы с ограниченным доступом, который отсутствует в списке участников. Добавляется любой пользователь из списка Участники, который в настоящее время не является членом группы с ограниченным доступом. Для управления членством в группах можно использовать политику ограниченных групп. С помощью политики можно указать, какие члены входят в группу. Все члены, не указанные в политике, удаляются во время настройки или обновления. Например, можно создать политику ограниченных групп, чтобы разрешить членам группы администраторов только указанных пользователей (например, Алиса и Джон). При обновлении политики только Алиса и Джон останутся членами группы администраторов.

Предостережение

Если применяется политика ограниченных групп, удаляется любой текущий участник, который не входит в список участников политики ограниченных групп. Сюда могут входить члены по умолчанию, например администраторы. Группы с ограниченным доступом должны использоваться главным образом для настройки членства в локальных группах на рабочей станции или рядовых серверах. Пустой список участников означает, что в группе с ограниченным доступом нет участников.

Предостережение

Встроенную учетную запись администратора нельзя удалить из встроенной группы администраторов. Если вы попытаетесь удалить его, команда завершается ошибкой со следующей ошибкой:

Код ошибки Символическое имя Описание ошибки Заголовок
0x55b (Шестнадцатеричный)
1371 (Декабрь)
ERROR_SPECIAL_ACCOUNT Не удается выполнить эту операцию для встроенных учетных записей. winerror.h

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Допустимые значения:


Развернуть, чтобы просмотреть XML-файл схемы
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
  <xs:simpleType name="member_name">
    <xs:restriction base="xs:string">
      <xs:maxLength value="255" />
    </xs:restriction>
  </xs:simpleType>
  <xs:element name="accessgroup">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="member" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Restricted Group Member</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="name" type="member_name" use="required" />
          </xs:complexType>
        </xs:element>
      </xs:sequence>
      <xs:attribute name="desc" type="member_name" use="required" />
    </xs:complexType>
  </xs:element>
  <xs:element name="groupmembership">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Restricted Group</xs:documentation>
          </xs:annotation>
        </xs:element>
      </xs:sequence>
    </xs:complexType>
  </xs:element>
</xs:schema>

Пример:

<groupmembership>
    <accessgroup desc = "Group1">
        <member name = "S-1-15-6666767-76767676767-666666777"/>
        <member name = "contoso\Alice"/>
    </accessgroup>
    <accessgroup desc = "Group2">
        <member name = "S-1-15-1233433-23423432423-234234324"/>
        <member name = "contoso\Group3"/>
    </accessgroup>
</groupmembership>

Описания свойств:

  • <accessgroup desc> содержит идентификатор безопасности локальной группы или имя группы для настройки. Если здесь указан идентификатор безопасности, политика использует API LookupAccountName для получения имени локальной группы. Для достижения наилучших результатов используйте имена для <accessgroup desc>.

  • <member name> содержит члены, добавляемые в группу в <accessgroup desc>. Элемент можно указать в качестве имени или идентификатора безопасности. Для достижения наилучших результатов используйте идентификатор безопасности для <member name>. Идентификатор безопасности участника может быть учетной записью пользователя или группой в Active Directory, Microsoft Entra ID или на локальном компьютере. Если здесь указано имя, политика попытается получить соответствующий идентификатор безопасности с помощью API LookupAccountSID . Имя можно использовать для учетной записи пользователя или группы в Active Directory или на локальном компьютере. Членство настраивается с помощью API NetLocalGroupSetMembers .

  • В этом примере Group1 и Group2 являются локальными группами на настраиваемом устройстве и Group3 являются группой домена.

Примечание.

В настоящее время политика RestrictedGroups/ConfigureGroupMembership не имеет функции MemberOf. Однако вы можете добавить группу домена в качестве участника в локальную группу с помощью части члена, как показано в этом примере.

Временная шкала политики:

Поведение этого параметра политики отличается в разных версиях Windows 10. Для Windows 10, версия 1809 до версии 1909 можно использовать имя в <accessgroup desc> и идентификатор безопасности в <member name>. Для Windows 10 версии 2004 можно использовать имя или идентификатор безопасности для обоих элементов, как описано в примере.

В следующей таблице описывается поведение этого параметра политики в разных версиях Windows 10.

Версия Windows 10 Поведение политики
Windows 10 версии 1803 Добавлен этот параметр политики.
XML принимает группу и член только по имени.
Поддерживает настройку группы администраторов с помощью имени группы.
Ожидается, что имя участника будет иметь формат имени учетной записи.
Windows 10 версии 1809
Windows 10 версии 1903
Windows 10 версии 1909
Поддерживает настройку любой локальной группы.
<accessgroup desc> принимает только имя.
<member name> принимает имя или идентификатор безопасности.
Это полезно, если требуется убедиться, что определенная локальная группа всегда имеет хорошо известный идентификатор безопасности в качестве члена.
Windows 10, версия 2004 Ведет себя, как описано в этой статье.
Принимает имя или идентификатор безопасности для группы и участников и переводит соответствующим образом.

Поставщик служб конфигурации политики