Partager via


Fournisseur de services de configuration de stratégie - RestrictedGroups

Important

À partir de Windows 10, version 20H2, pour configurer les membres des groupes locaux Windows, utilisez la stratégie LocalUsersandGroups au lieu de la stratégie RestrictedGroups. Ces membres peuvent être des utilisateurs ou des groupes Microsoft Entra.

N’appliquez pas les deux stratégies au même appareil, elles ne sont pas prises en charge et peuvent produire des résultats imprévisibles.

ConfigureGroupMembership

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership

Ce paramètre de sécurité permet à un administrateur de définir les membres d’un groupe sensible à la sécurité (restreint). Lorsqu’une stratégie de groupes restreints est appliquée, tout membre actuel d’un groupe restreint qui ne figure pas dans la liste Membres est supprimé. Tout utilisateur de la liste Membres qui n’est pas actuellement membre du groupe restreint est ajouté. Vous pouvez utiliser la stratégie Groupes restreints pour contrôler l’appartenance au groupe. À l’aide de la stratégie, vous pouvez spécifier les membres qui font partie d’un groupe. Tous les membres qui ne sont pas spécifiés dans la stratégie sont supprimés lors de la configuration ou de l’actualisation. Par exemple, vous pouvez créer une stratégie Groupes restreints pour autoriser uniquement les utilisateurs spécifiés (par exemple, Alice et John) à être membres du groupe Administrateurs. Lorsque la stratégie est actualisée, seuls Alice et John restent membres du groupe Administrateurs.

Attention

Si une stratégie Groupes restreints est appliquée, tout membre actuel qui ne figure pas dans la liste des membres de la stratégie Groupes restreints est supprimé. Cela peut inclure les membres par défaut, tels que les administrateurs. Les groupes restreints doivent être utilisés principalement pour configurer l’appartenance à des groupes locaux sur une station de travail ou des serveurs membres. Une liste membres vide signifie que le groupe restreint n’a aucun membre.

Attention

Vous ne pouvez pas supprimer le compte Administrateur intégré du groupe Administrateurs intégré. Si vous essayez de le supprimer, la commande échoue avec l’erreur suivante :

Code d'erreur Nom symbolique Description de l’erreur En-tête
0x55b (Hexadécimal)
1371 (Déc)
ERROR_SPECIAL_ACCOUNT Impossible d’effectuer cette opération sur les comptes intégrés. winerror.h

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Valeurs autorisées:


Développer pour afficher le code XML du schéma
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
  <xs:simpleType name="member_name">
    <xs:restriction base="xs:string">
      <xs:maxLength value="255" />
    </xs:restriction>
  </xs:simpleType>
  <xs:element name="accessgroup">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="member" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Restricted Group Member</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="name" type="member_name" use="required" />
          </xs:complexType>
        </xs:element>
      </xs:sequence>
      <xs:attribute name="desc" type="member_name" use="required" />
    </xs:complexType>
  </xs:element>
  <xs:element name="groupmembership">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Restricted Group</xs:documentation>
          </xs:annotation>
        </xs:element>
      </xs:sequence>
    </xs:complexType>
  </xs:element>
</xs:schema>

Exemple :

<groupmembership>
    <accessgroup desc = "Group1">
        <member name = "S-1-15-6666767-76767676767-666666777"/>
        <member name = "contoso\Alice"/>
    </accessgroup>
    <accessgroup desc = "Group2">
        <member name = "S-1-15-1233433-23423432423-234234324"/>
        <member name = "contoso\Group3"/>
    </accessgroup>
</groupmembership>

Descriptions des propriétés :

  • <accessgroup desc> contient le SID de groupe local ou le nom du groupe à configurer. Si un SID est spécifié ici, la stratégie utilise l’API LookupAccountName pour obtenir le nom du groupe local. Pour obtenir de meilleurs résultats, utilisez des noms pour <accessgroup desc>.

  • <member name> contient les membres à ajouter au groupe dans <accessgroup desc>. Un membre peut être spécifié sous la forme d’un nom ou d’un SID. Pour de meilleurs résultats, utilisez un SID pour <member name>. Le SID membre peut être un compte d’utilisateur ou un groupe dans Active Directory, Microsoft Entra ID ou sur l’ordinateur local. Si un nom est spécifié ici, la stratégie tente d’obtenir le SID correspondant à l’aide de l’API LookupAccountSID . Le nom peut être utilisé pour un compte d’utilisateur ou un groupe dans Active Directory ou sur l’ordinateur local. L’appartenance est configurée à l’aide de l’API NetLocalGroupSetMembers .

  • Dans cet exemple, Group1 et Group2 sont des groupes locaux sur l’appareil en cours de configuration, et Group3 est un groupe de domaines.

Remarque

Actuellement, la stratégie RestrictedGroups/ConfigureGroupMembership n’a pas de fonctionnalité MemberOf. Toutefois, vous pouvez ajouter un groupe de domaines en tant que membre à un groupe local à l’aide de la partie membre, comme illustré dans cet exemple.

Chronologie de stratégie :

Le comportement de ce paramètre de stratégie diffère selon les versions Windows 10. Pour Windows 10, version 1809 jusqu’à la version 1909, vous pouvez utiliser le nom dans <accessgroup desc> et le SID dans <member name>. Pour Windows 10, version 2004, vous pouvez utiliser le nom ou le SID pour les deux éléments, comme décrit dans l’exemple.

Le tableau suivant décrit le comportement de ce paramètre de stratégie dans différentes versions Windows 10 :

Version de Windows 10 Comportement de stratégie
Windows 10, version 1803 Ajout de ce paramètre de stratégie.
XML accepte le groupe et le membre uniquement par nom.
Prend en charge la configuration du groupe Administrateurs à l’aide du nom du groupe.
S’attend à ce que le nom du membre soit au format de nom de compte.
Windows 10, version 1809
Windows 10, version 1903
Windows 10 version 1909
Prend en charge la configuration d’un groupe local.
<accessgroup desc> accepte uniquement le nom.
<member name> accepte un nom ou un SID.
Ce comportement est utile lorsque vous souhaitez vous assurer qu’un certain groupe local a toujours un SID connu en tant que membre.
Windows 10, version 2004 Se comporte comme décrit dans cet article.
Accepte le nom ou le SID pour le groupe et les membres et traduit le cas échéant.

Fournisseur de services de configuration de stratégie