ポリシー CSP - LocalUsersAndGroups

  • [アーティクル]

構成

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー		 ✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC		 ✅Windows 10バージョン 2009 [10.0.19042] 以降 
./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure

この設定を使用すると、管理者はデバイス上のローカル グループを管理できます。 使用可能な設定:

  1. グループ メンバーシップの更新: グループを更新し、'U' アクションを使用してメンバーを追加または削除します。 Update を使用する場合、ポリシーで指定されていない既存のグループ メンバーは変更されません。
  2. グループ メンバーシップの置き換え: 'R' アクションを使用してグループ メンバーシップを置き換えることによって、グループを制限します。 Replace を使用する場合、既存のグループ メンバーシップは、メンバーの追加セクションで指定されたメンバーの一覧に置き換えられます。 このオプションは、制限付きグループと同じように機能し、ポリシーで指定されていないグループ メンバーはすべて削除されます。

注意

同じグループが [置換] と [更新] の両方で構成されている場合は、[置換] が優先されます。

RestrictedGroups/ConfigureGroupMembership ポリシー設定を使用すると、メンバー (ユーザーまたはMicrosoft Entra グループ) をWindows 10ローカル グループに構成することもできます。 ただし、既存のグループを新しいメンバーに完全に置き換えるだけで、選択的な追加または削除は許可されません。

バージョン 20H2 Windows 10 以降では、RestrictedGroups ポリシーではなく LocalUsersAndGroups ポリシーを使用することをお勧めします。 両方のポリシーを同じデバイスに適用することはサポートされていないため、予期しない結果が生じる可能性があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

指定可能な値


展開してスキーマ XML を表示する 
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
  <xs:simpleType name="name">
    <xs:restriction base="xs:string">
      <xs:maxLength value="255" />
    </xs:restriction>
  </xs:simpleType>
  <xs:element name="accessgroup">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="group" minOccurs="1" maxOccurs="1">
          <xs:annotation>
            <xs:documentation>Group Configuration Action</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="action" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="add" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group Member to Add</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="member" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="remove" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group Member to Remove</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="member" type="name" use="required" />
          </xs:complexType>
        </xs:element>
        <xs:element name="property" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Group property to configure</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="desc" type="name" use="required" />
            <xs:attribute name="value" type="name" use="required" />
          </xs:complexType>
        </xs:element>
      </xs:sequence>
      <xs:attribute name="desc" type="name" use="required" />
    </xs:complexType>
  </xs:element>
  <xs:element name="GroupConfiguration">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Local Group Configuration</xs:documentation>
          </xs:annotation>
        </xs:element>
      </xs:sequence>
    </xs:complexType>
  </xs:element>
</xs:schema>

:

グループ構成のポリシー定義 XML の例を次に示します。

<GroupConfiguration>
    <accessgroup desc = "">
        <group action = ""/>
            <add member = ""/>
            <remove member = ""/>
    </accessgroup>
</GroupConfiguration>

この場合

  • <accessgroup desc>: 構成するローカル グループの名前または SID を指定します。 SID を指定した場合、 LookupAccountSid API を使用して SID を有効なグループ名に変換します。 名前を指定すると、 LookupAccountName API を使用してグループを参照し、名前を検証します。 名前/SID 参照が失敗した場合、グループはスキップされ、XML ファイル内の次のグループが処理されます。 複数のエラーがある場合は、ポリシー処理の最後に最後のエラーが返されます。

  • <group action>: ローカル グループに対して実行するアクションを指定します。これは、ユーザーと R によって表される Update と Restrict です。

    • 更新。 このアクションは、現在のグループ メンバーシップをそのまま保持し、特定のグループのメンバーを追加または削除するために使用する必要があります。
    • 制限。 現在のメンバーシップを新しく指定したグループに置き換えるには、このアクションを使用する必要があります。 このアクションは、 RestrictedGroups/ConfigureGroupMembership ポリシー設定と同じ機能を提供します。

  • <add member>: 構成するメンバーの SID または名前を指定します。

  • <remove member>: 指定したグループから削除するメンバーの SID または名前を指定します。

    ユーザー アカウントのメンバー名を指定する場合は、AzureAD\userUPN という形式を使用する必要があります。 たとえば、"AzureAD\user1@contoso.com" や "AzureAD\" などですuser2@contoso.co.uk。 Microsoft Entraグループを追加するには、Microsoft Entra グループ SID を指定する必要があります。 Microsoft Entraグループ名は、このポリシーではサポートされていません。 詳細については、「 LookupAccountNameA 関数」を参照してください。

カスタム プロファイルを作成する方法については、Intuneの「Windows 10 デバイスのカスタム設定を使用する」を参照してください。

重要

  • <add member>では<remove member>、Microsoft Entra SID またはユーザー名を使用できます。 このポリシーを使用してMicrosoft Entraグループを追加または削除するには、グループの SID を使用する必要があります。 Microsoft Entraグループ SID は、グループの Graph API を使用して取得できます。 SID は 属性に存在します securityIdentifier
  • または <remove member><add member> SID を指定すると、メンバー SID は解決されずに追加されます。 したがって、SID を指定する際は、正しいことを確認するために十分に注意してください。
  • <remove member> は R (Restrict) アクションに対して無効であり、存在する場合は無視されます。
  • XML のリストは、R アクションを除き、指定された順序で処理されます。これは、最後に処理され、それらが確実に勝つために処理されます。 また、グループが異なる add/remove 値を持つ複数回存在する場合、それらのすべてが存在する順序で処理されることを意味します。

例 1: フォーカスMicrosoft Entra ID。

次の例では、SID S-1-5-21-2222222222222-3333333333-4444444444-500 と Microsoft Entra アカウント "bob@contoso.com" Microsoft Entra を使用して組み込みの管理者グループを更新します。 SID S-1-12-1-11111111111-22222222222-33333333333-44444444 が参加しているMicrosoft Entraのグループ。

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "U" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
    </accessgroup>
</GroupConfiguration>

例 2: 組み込みの管理者グループを Microsoft Entra ユーザー アカウントに置き換える/制限する。

'R' replace オプションを使用して、SID S-1-5-21-222222222222-33333333333-444444444-500 を使用して組み込みの Administrators グループを構成する場合は、常に管理者をメンバーと他のカスタム メンバーとして指定する必要があります。 組み込みの管理者は常に管理者グループのメンバーである必要があるため、これは必要です。

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "R" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "Administrator"/>
    </accessgroup>
</GroupConfiguration>

例 3: ハイブリッド参加済みマシンでグループ メンバーを追加および削除するための更新アクション。

次の例は、ローカル グループ (SID S-1-5-21-222222222222-3333333333-444444444-500 を持つ管理者) を更新する方法を示しています。その名前を使用して AD ドメイン グループをメンバーとして追加します (Contoso\ITAdmin )、SID (S-1-12-1-1-1111111111-22222222222-33333333333-444444444) によってMicrosoft Entra グループを追加し、ローカル アカウント (Guest) が存在する場合は削除します。

<GroupConfiguration>
    <accessgroup desc = "S-1-5-21-2222222222-3333333333-4444444444-500">
        <group action = "U" />
        <add member = "Contoso\ITAdmins"/>
        <add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
        <remove member = "Guest"/>
    </accessgroup>
</GroupConfiguration>

Microsoft Entra グループ SID がローカル グループに追加されると、Microsoft Entra アカウントログオン特権は、Windows 10 デバイス上の次の既知のグループに対してのみ評価されます。

  • 管理者
  • ユーザー
  • Guests
  • Power Users
  • リモート デスクトップ ユーザー
  • リモート管理ユーザー

よく寄せられる質問

このセクションでは、LocalUsersAndGroups ポリシー CSP についてよく寄せられる質問に対する回答を示します。

組み込みの管理者 SID を Administrators グループから誤って削除した場合はどうなりますか?

組み込みの Administrators グループから組み込みの管理者アカウントを削除すると、セキュリティ上の理由から SAM/OS レベルでブロックされます。 そうしようとすると、次のエラーが発生してエラーが発生します。

エラー コード シンボリック名 エラーの説明 ヘッダー
0x55b (16 進数)
1371 (12 月)		 ERROR_SPECIAL_ACCOUNT 組み込みアカウントでこの操作を実行できません。 winerror.h

R (Restrict) アクションを使用して組み込みの Administrators グループを構成する場合は、このエラーを回避するために組み込みの Administrator アカウント SID/Name を指定 <add member> します。

既に存在するメンバーを追加できますか?

はい。既にグループのメンバーであるメンバーを追加できます。 これにより、グループに変更はなく、エラーも発生しません。

メンバーがグループのメンバーでない場合は削除できますか?

はい。メンバーがグループのメンバーでなくても削除できます。 これにより、グループに変更はなく、エラーも発生しません。

ドメイン グループをメンバーとしてローカル グループに追加するにはどうすればよいですか?

ドメイン グループをメンバーとしてローカル グループに追加するには、ローカル グループの ドメイン <add member> グループを指定します。 最適な結果を得るには、分離された名前 (group_name など) ではなく完全修飾アカウント名 (たとえば、domain_name\group_name) を使用します。 詳細については、「 LookupAccountNameA 関数 」を参照してください。

同じデバイスに複数の LocalUserAndGroups ポリシー/XML を適用できますか?

いいえ。これは許可されません。 そうしようとすると、Intuneで競合が発生します。

存在しないグループ名を指定するとどうなりますか?

無効なグループ名または SID はスキップされます。 ポリシーの有効な部分が適用され、処理の最後にエラーが返されます。 この動作は、オンプレミスの AD GPP (グループ ポリシー基本設定) LocalUsersAndGroups ポリシーと一致します。 同様に、無効なメンバー名はスキップされ、すべての設定が正常に適用されなかったことを通知するために、最後にエラーが返されます。

同じ XML で R と U を指定するとどうなりますか?

同じ XML に R と U の両方を指定すると、R (Restrict) アクションが U (Update) よりも優先されます。 したがって、グループが XML に 2 回表示され、一緒に 1 回、R でもう一度表示される場合、R アクションが優先されます。

クライアント デバイスに適用されるポリシーの結果を操作方法 チェックしますか?

ポリシーがクライアント デバイスに適用されたら、イベント ログを調査して結果を確認できます。

  1. イベント ビューアー (eventvwr.exe) を開きます。
  2. [アプリケーションとサービス ログ>] [Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider管理 に移動します>。
  3. 文字列を LocalUsersAndGroups 検索して、関連する詳細を確認します。

名前/SID 参照 API のトラブルシューティング方法

名前/SID 参照 API のトラブルシューティングを行うには:

  1. のコマンドを 実行して、クライアント デバイスでlsp.logを有効にします。

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -Force

    lsp.log ファイル (C:\windows\debug\lsp.log) が表示されます。 このログ ファイルは、SID-Name 解決を追跡します。

  2. 次のコマンドを実行して、ログ記録をオフにします。

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force

ポリシー構成サービス プロバイダー