CSP de directiva: LocalUsersAndGroups


Directivas LocalUsersAndGroups

LocalUsersAndGroups/Configure

LocalUsersAndGroups/Configure

Edición Windows10 Windows11
Inicio No No
Pro
WindowsSE No
Negocios
Empresa
Educación

Ámbito:

  • Dispositivo

Esta configuración de directiva permite a los administradores de TI agregar, quitar o reemplazar miembros de grupos locales en un dispositivo administrado.

Nota

La configuración de directiva RestrictedGroups/ConfigureGroupMembership también permite configurar miembros (usuarios o grupos de Azure Active Directory) en un grupo local Windows 10. Sin embargo, solo permite una sustitución completa de los grupos existentes por los nuevos miembros y no permite agregar o quitar selectivamente.

A partir de Windows 10, versión 20H2, se recomienda usar la directiva LocalUsersandGroups en lugar de la directiva RestrictedGroups. No se admite la aplicación de ambas directivas al mismo dispositivo y puede producir resultados imprevisibles.

Este es un ejemplo del XML de definición de directiva para la configuración de grupo:

<GroupConfiguration>
    <accessgroup desc = "">
        <group action = ""/> 
            <add member = ""/>
            <remove member = ""/>
    </accessgroup>
</GroupConfiguration>

donde:

  • <accessgroup desc>: especifica el nombre o el SID del grupo local que se va a configurar. Si especifica un SID, la API LookupAccountSid se usa para traducir el SID a un nombre de grupo válido. Si especifica un nombre, la API LookupAccountName se usa para buscar el grupo y validar el nombre. Si se produce un error en la búsqueda de nombre o SID, se omite el grupo y se procesa el siguiente grupo del archivo XML. Si hay varios errores, el último error se devuelve al final del procesamiento de directivas.

  • <group action>: especifica la acción que se va a realizar en el grupo local, que puede ser Actualizar y Restringir, representada por usted y R:

    • Update. Esta acción debe usarse para mantener intacta la pertenencia al grupo actual y agregar o quitar miembros del grupo específico.
    • Restringir. Esta acción debe usarse para reemplazar la pertenencia actual por los grupos recién especificados. Esta acción proporciona la misma funcionalidad que la configuración de directiva RestrictedGroups/ConfigureGroupMembership .
  • <add member>: especifica el SID o el nombre del miembro que se va a configurar.

  • <remove member>: especifica el SID o el nombre del miembro que se va a quitar del grupo especificado.

    Nota

    Al especificar los nombres de miembro de las cuentas de usuario, debe usar el siguiente formato: AzureAD\userUPN. Por ejemplo, "AzureAD\user1@contoso.com" o "AzureAD\user2@contoso.co.uk". Para agregar grupos de Azure AD, debe especificar el SID de grupo de Azure AD. Los nombres de grupo de Azure AD no se admiten con esta directiva. Para obtener más información, vea Función LookupAccountNameA.

Consulte Uso de la configuración personalizada para dispositivos Windows 10 en Intune para obtener información sobre cómo crear perfiles personalizados.

Importante

  • <add member> y <remove member> puede usar un SID de Azure AD o el nombre del usuario. Para agregar o quitar grupos de Azure AD mediante esta directiva, debe usar el SID del grupo. Los SID de grupo de Azure AD se pueden obtener mediante Graph API para grupos. El SID está presente en el securityIdentifier atributo .
  • Al especificar un SID en o <add member> <remove member>, los SID de miembro se agregan sin intentar resolverlos. Por lo tanto, tenga mucho cuidado al especificar un SID para asegurarse de que es correcto.
  • <remove member> no es válido para la acción R (Restringir) y se omitirá si está presente.
  • La lista del XML se procesa en el orden especificado, excepto para las acciones de R, que se procesan por última vez para asegurarse de que ganan. También significa que, si un grupo está presente varias veces con diferentes valores add/remove, todos ellos se procesarán en el orden en que están presentes.

Ejemplos

Ejemplo 1: Azure Active Directory centrado.

En el ejemplo siguiente se actualiza el grupo de administradores integrado con la cuenta de Azure AD "bob@contoso.com" y un grupo de Azure AD con el SID S-1-12-1-1111111111-2222222222-333333333-44444444444 en un equipo unido a AAD.

<GroupConfiguration>
    <accessgroup desc = "Administrators">
        <group action = "U" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
    </accessgroup>
</GroupConfiguration>

Ejemplo 2: Reemplazar o restringir el grupo de administradores integrado por una cuenta de usuario de Azure AD.

Nota

Al usar la opción "R", reemplace para configurar el grupo integrado "Administradores". Es necesario especificar siempre el administrador como miembro y cualquier otro miembro personalizado. Esto se debe a que el administrador integrado siempre debe ser miembro del grupo de administradores.

Por ejemplo:

<GroupConfiguration>
    <accessgroup desc = "Administrators">
        <group action = "R" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "Administrator"/>
    </accessgroup>
</GroupConfiguration>

Ejemplo 3: Acción de actualización para agregar y quitar miembros del grupo en una máquina combinada híbrida.

En el ejemplo siguiente se muestra cómo actualizar un grupo local (administradores): agregar un grupo de dominio de AD como miembro mediante su nombre (Contoso\ITAdmins), agregar un grupo de Azure Active Directory por su SID (S-1-12-1-11)1111111-2222222222222-333333333-4444444444) y quite una cuenta local (invitado) si existe.

<GroupConfiguration> 
    <accessgroup desc = "Administrators"> 
        <group action = "U" /> 
        <add member = "Contoso\ITAdmins"/>
        <add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
        <remove member = "Guest"/> 
    </accessgroup> 
</GroupConfiguration>

Nota

Cuando se agregan Azure Active Directory SID de grupo a grupos locales, los privilegios de inicio de sesión de la cuenta de Azure AD solo se evalúan para los siguientes grupos conocidos en un dispositivo Windows 10:

  • Administradores
  • Usuarios
  • Invitados
  • Usuarios avanzados
  • Usuarios de Escritorio remoto
  • Usuarios de administración remota

P+F

En esta sección se proporcionan respuestas a algunas preguntas comunes que podría tener sobre el CSP de directiva LocalUsersAndGroups.

¿Qué ocurre si elimino accidentalmente el SID de administrador integrado del grupo Administradores?

La eliminación de la cuenta de administrador integrada del grupo de administradores integrado se bloquea en el nivel SAM/OS por motivos de seguridad. Al intentar hacerlo, se producirá un error con el siguiente error:

Código de error Nombre simbólico Descripción del error Encabezado
0x55b (hexadecimal)
1371 (dic)
ERROR_SPECIAL_ACCOUNT No se puede realizar esta operación en cuentas integradas. winerror.h

Al configurar el grupo de administradores integrado con la acción R (Restringir), especifique el SID/Nombre de la cuenta de administrador integrada en <add member> para evitar este error.

¿Puedo agregar un miembro que ya existe?

Sí, puede agregar un miembro que ya sea miembro de un grupo. Esto no producirá ningún cambio en el grupo ni ningún error.

¿Puedo quitar un miembro si no es miembro del grupo?

Sí, puede quitar un miembro aunque no sea miembro del grupo. Esto no producirá ningún cambio en el grupo ni ningún error.

¿Cómo puedo agregar un grupo de dominio como miembro a un grupo local?

Para agregar un grupo de dominio como miembro a un grupo local, especifique el grupo de dominios del <add member> grupo local. Use nombres de cuenta completos (por ejemplo, domain_name\group_name) en lugar de nombres aislados (por ejemplo, group_name) para obtener los mejores resultados. Vea LookupAccountNameA function (Función LookupAccountNameA ) para obtener más información.

¿Puedo aplicar más de una directiva LocalUserAndGroups o XML al mismo dispositivo?

No, esto no está permitido. Si intenta hacerlo, se producirá un conflicto en Intune.

¿Qué ocurre si especifico un nombre de grupo que no existe?

Se omitirán los nombres de grupo o los SID no válidos. Se aplicarán partes válidas de la directiva y se devolverá el error al final del procesamiento. Este comportamiento se alinea con la directiva local de GPP de AD (preferencias de directiva de grupo) LocalUsersAndGroups. De forma similar, se omitirán los nombres de miembros no válidos y se devolverá un error al final para notificar que no todas las configuraciones se aplicaron correctamente.

¿Qué ocurre si especifico R y U en el mismo XML?

Si especifica R y U en el mismo XML, la acción R (Restringir) tiene prioridad sobre U (Actualizar). Por lo tanto, si un grupo aparece dos veces en el XML, una vez con usted y de nuevo con R, la acción de R gana.

Cómo comprobar el resultado de una directiva que se aplica en el dispositivo cliente?

Después de aplicar una directiva en el dispositivo cliente, puede investigar el registro de eventos para revisar el resultado:

  1. Abra Visor de eventos (eventvwr.exe).
  2. Vaya a Registros de aplicaciones y servicios > Microsoft > Windows > DeviceManagement-Enterprise- Diagnostics-Provider > Admin.
  3. Busque la LocalUsersAndGroups cadena para revisar los detalles pertinentes.

¿Cómo puedo solucionar problemas de las API de búsqueda de nombre o SID?

Para solucionar problemas de las API de búsqueda de nombre o SID:

  1. Habilite lsp.log en el dispositivo cliente ejecutando los siguientes comandos:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force
    
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -Force
    

    Se mostrará el archivo lsp.log (C:\windows\debug\lsp.log). Este archivo de registro realiza un seguimiento de la resolución de SID-Name.

  2. Para desactivar el registro, ejecute el siguiente comando:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force
    
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force
    
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
  <xs:simpleType name="name">
    <xs:restriction base="xs:string">
      <xs:maxLength value="255" />
    </xs:restriction>
  </xs:simpleType>
  <xs:element name="accessgroup">
    <xs:complexType>
        <xs:sequence>
            <xs:element name="group" minOccurs="1" maxOccurs="1">
              <xs:annotation>
                <xs:documentation>Group Configuration Action</xs:documentation>
              </xs:annotation>
              <xs:complexType>
                <xs:attribute name="action" type="name" use="required"/>
              </xs:complexType>
            </xs:element>
            <xs:element name="add" minOccurs="0" maxOccurs="unbounded">
              <xs:annotation>
                <xs:documentation>Group Member to Add</xs:documentation>
              </xs:annotation>
              <xs:complexType>
                <xs:attribute name="member" type="name" use="required"/>
              </xs:complexType>
            </xs:element>
            <xs:element name="remove" minOccurs="0" maxOccurs="unbounded">
              <xs:annotation>
                <xs:documentation>Group Member to Remove</xs:documentation>
              </xs:annotation>
              <xs:complexType>
                <xs:attribute name="member" type="name" use="required"/>
              </xs:complexType>
            </xs:element>
            <xs:element name="property" minOccurs="0" maxOccurs="unbounded">
              <xs:annotation>
                <xs:documentation>Group property to configure</xs:documentation>
              </xs:annotation>
              <xs:complexType>
                <xs:attribute name="desc" type="name" use="required"/>
                <xs:attribute name="value" type="name" use="required"/>
              </xs:complexType>
            </xs:element>
          </xs:sequence>
      <xs:attribute name="desc" type="name" use="required"/>
    </xs:complexType>
  </xs:element>
  <xs:element name="GroupConfiguration">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
      <xs:documentation>Local Group Configuration</xs:documentation>
    </xs:annotation>
        </xs:element>
      </xs:sequence>
    </xs:complexType>
  </xs:element>
</xs:schema>

Temas relacionados

Proveedor de servicios de configuración de directivas