ポリシー CSP - LocalUsersAndGroups
LocalUsersAndGroups ポリシー
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | いいえ | いいえ |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
このポリシー設定を使用すると、IT 管理者はマネージド デバイス上のローカル グループのメンバーを追加、削除、または置き換えることができます。
注意
RestrictedGroups/ConfigureGroupMembership ポリシー設定では、メンバー (ユーザーまたはAzure Active Directory グループ) をWindows 10ローカル グループに構成することもできます。 ただし、既存のグループを新しいメンバーに完全に置き換えるだけで、選択的な追加または削除は許可されません。
Windows 10 バージョン 20H2 以降では、RestrictedGroups ポリシーの代わりに LocalUsersandGroups ポリシーを使用することをお勧めします。 両方のポリシーを同じデバイスに適用することはサポートされておらず、予期しない結果が生じる可能性があります。
グループ構成のポリシー定義 XML の例を次に示します。
<GroupConfiguration>
<accessgroup desc = "">
<group action = ""/>
<add member = ""/>
<remove member = ""/>
</accessgroup>
</GroupConfiguration>
この場合
<accessgroup desc>: 構成するローカル グループの名前または SID を指定します。 SID を指定した場合、 LookupAccountSid API を使用して SID を有効なグループ名に変換します。 名前を指定した場合、 LookupAccountName API を使用してグループを参照し、名前を検証します。 名前/SID 参照が失敗した場合、グループはスキップされ、XML ファイル内の次のグループが処理されます。 複数のエラーがある場合は、ポリシー処理の最後に最後のエラーが返されます。<group action>: ローカル グループに対して実行するアクションを指定します。これには、ユーザーと R によって表される Update and Restrict を指定できます。- 更新。 このアクションは、現在のグループ メンバーシップを維持し、特定のグループのメンバーを追加または削除するために使用する必要があります。
- 制限。 このアクションは、現在のメンバーシップを新しく指定されたグループに置き換えるために使用する必要があります。 このアクションは、 RestrictedGroups/ConfigureGroupMembership ポリシー設定と同じ機能を提供します。
<add member>: 構成するメンバーの SID または名前を指定します。<remove member>: 指定したグループから削除するメンバーの SID または名前を指定します。注意
ユーザー アカウントのメンバー名を指定する場合は、次の形式 (AzureAD\userUPN) を使用する必要があります。 たとえば、"AzureAD\user1@contoso.com" または "AzureAD\user2@contoso.co.uk" などです。 Azure AD グループを追加するには、Azure AD グループ SID を指定する必要があります。 このポリシーでは、Azure AD グループ名はサポートされていません。 詳細については、「 LookupAccountNameA 関数」を参照してください。
カスタム プロファイルを作成する方法については、「IntuneでWindows 10 デバイスのカスタム設定を使用する」を参照してください。
重要
<add member>Azure<remove member>AD SID またはユーザーの名前を使用できます。 このポリシーを使用して Azure AD グループを追加または削除するには、グループの SID を使用する必要があります。 Azure AD グループ SID は、Graph API for Groups を使用して取得できます。 SID は属性に存在しますsecurityIdentifier。- または
<remove member>、メンバー SID で SID を<add member>指定すると、解決を試みることなくメンバー SID が追加されます。 そのため、SID が正しいことを確認するには、SID を指定するときは十分に注意してください。 <remove member>は R (Restrict) アクションに対して無効であり、存在する場合は無視されます。- XML 内のリストは、R アクションを除き、指定された順序で処理されます。R アクションは最後に処理され、確実に勝ちます。 また、グループに異なる追加/削除値が複数回存在する場合、それらのすべてが存在する順序で処理されます。
例
例 1: フォーカスAzure Active Directory。
次の例では、Azure AD アカウント "bob@contoso.com" を使用して組み込みの管理者グループを更新し、AAD 参加済みコンピューター上の SID S-1-12-1-111111111-22222222222-3333333333-444444444444 を使用して Azure AD グループを更新します。
<GroupConfiguration>
<accessgroup desc = "Administrators">
<group action = "U" />
<add member = "AzureAD\bob@contoso.com"/>
<add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
</accessgroup>
</GroupConfiguration>
例 2: 組み込みの管理者グループを Azure AD ユーザー アカウントに置き換える/制限する。
注意
'R' 置換オプションを使用して組み込みの 'Administrators' グループを構成する場合。 常に管理者をメンバーとして指定し、その他のカスタム メンバーを指定する必要があります。 これは、組み込みの管理者が常に管理者グループのメンバーである必要があるためです。
例:
<GroupConfiguration>
<accessgroup desc = "Administrators">
<group action = "R" />
<add member = "AzureAD\bob@contoso.com"/>
<add member = "Administrator"/>
</accessgroup>
</GroupConfiguration>
例 3: ハイブリッド参加済みコンピューター上のグループ メンバーを追加および削除するための更新アクション。
次の例は、ローカル グループ (管理者) を更新する方法を示しています。名前 (Contoso\ITAdmins) を使用して AD ドメイン グループをメンバーとして追加し、SID によってAzure Active Directory グループを追加する (S-1-12-1-11) 22222222222222-33333333-444444444)、ローカル アカウント (ゲスト) が存在する場合は削除します。
<GroupConfiguration>
<accessgroup desc = "Administrators">
<group action = "U" />
<add member = "Contoso\ITAdmins"/>
<add member = "S-1-12-1-111111111-22222222222-3333333333-4444444444"/>
<remove member = "Guest"/>
</accessgroup>
</GroupConfiguration>
注意
Azure Active Directory グループ SID がローカル グループに追加されると、Azure AD アカウントのログオン特権は、Windows 10 デバイス上の次の既知のグループに対してのみ評価されます。
- 管理者
- ユーザー
- Guests
- Power Users
- リモート デスクトップ ユーザー
- リモート管理ユーザー
よく寄せられる質問
このセクションでは、LocalUsersAndGroups ポリシー CSP に関するいくつかの一般的な質問に対する回答を提供します。
組み込みの管理者 SID を管理者グループから誤って削除した場合はどうなりますか?
組み込みの Administrators グループから組み込みの管理者アカウントを削除することは、セキュリティ上の理由から SAM/OS レベルでブロックされます。 これを試みると、次のエラーでエラーが発生します。
| エラー コード | シンボリック名 | エラーの説明 | ヘッダー |
|---|---|---|---|
| 0x55b (16 進数) 1371 (12 月) |
ERROR_SPECIAL_ACCOUNT | 組み込みアカウントではこの操作を実行できません。 | winerror.h |
R (制限) アクションを使用して組み込みの Administrators グループを構成する場合は、このエラーを回避するために組み込みの管理者アカウント SID/Name を <add member> 指定します。
既に存在するメンバーを追加できますか?
はい。既にグループのメンバーであるメンバーを追加できます。 これにより、グループは変更されず、エラーも発生しません。
メンバーがグループのメンバーでない場合、メンバーを削除できますか?
はい。メンバーがグループのメンバーでない場合でも、メンバーを削除できます。 これにより、グループは変更されず、エラーも発生しません。
ドメイン グループをメンバーとしてローカル グループに追加するにはどうすればよいですか?
ドメイン グループをメンバーとしてローカル グループに追加するには、ローカル グループの <add member> ドメイン グループを指定します。 最適な結果を得るには、分離された名前 (group_name など) の代わりに完全修飾アカウント名 (domain_name\group_name など) を使用します。 詳細については、 LookupAccountNameA 関数 を参照してください。
複数の LocalUserAndGroups ポリシー/XML を同じデバイスに適用できますか?
いいえ。これは許可されません。 これを行おうとすると、Intuneで競合が発生します。
存在しないグループ名を指定するとどうなりますか?
無効なグループ名または SID はスキップされます。 ポリシーの有効な部分が適用され、処理の最後にエラーが返されます。 この動作は、オンプレミスの AD PFX (グループ ポリシー Preferences) LocalUsersAndGroups ポリシーと一致します。 同様に、無効なメンバー名はスキップされ、すべての設定が正常に適用されたわけではないことを通知するエラーが最後に返されます。
同じ XML で R と U を指定するとどうなりますか?
同じ XML で R と U の両方を指定すると、R (Restrict) アクションが U (Update) よりも優先されます。 したがって、グループが XML に 2 回表示された場合は、R を使用して 1 回だけ実行すると、R アクションが優先されます。
クライアント デバイスに適用されたポリシーの結果を確認操作方法。
クライアント デバイスにポリシーが適用されたら、イベント ログを調査して結果を確認できます。
- イベント ビューアーを開きます (eventvwr.exe)。
- アプリケーションとサービス ログ > Microsoft > Windows > DeviceManagement-Enterprise- Diagnostics-Provider > Admin に移動します。
- 文字列を
LocalUsersAndGroups検索して、関連する詳細を確認します。
Name/SID ルックアップ API のトラブルシューティングを行う方法
Name/SID ルックアップ API のトラブルシューティングを行うには、
次のコマンドを実行して、クライアント デバイスで lsp.log を有効にします。
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x800 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x1 -Type dword -Forcelsp.log ファイル (C:\windows\debug\lsp.log) が表示されます。 このログ ファイルは、SID-Name解決を追跡します。
次のコマンドを実行してログをオフにします。
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgInfoLevel -Value 0x0 -Type dword -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LspDbgTraceOptions -Value 0x0 -Type dword -Force
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
<xs:simpleType name="name">
<xs:restriction base="xs:string">
<xs:maxLength value="255" />
</xs:restriction>
</xs:simpleType>
<xs:element name="accessgroup">
<xs:complexType>
<xs:sequence>
<xs:element name="group" minOccurs="1" maxOccurs="1">
<xs:annotation>
<xs:documentation>Group Configuration Action</xs:documentation>
</xs:annotation>
<xs:complexType>
<xs:attribute name="action" type="name" use="required"/>
</xs:complexType>
</xs:element>
<xs:element name="add" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Group Member to Add</xs:documentation>
</xs:annotation>
<xs:complexType>
<xs:attribute name="member" type="name" use="required"/>
</xs:complexType>
</xs:element>
<xs:element name="remove" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Group Member to Remove</xs:documentation>
</xs:annotation>
<xs:complexType>
<xs:attribute name="member" type="name" use="required"/>
</xs:complexType>
</xs:element>
<xs:element name="property" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Group property to configure</xs:documentation>
</xs:annotation>
<xs:complexType>
<xs:attribute name="desc" type="name" use="required"/>
<xs:attribute name="value" type="name" use="required"/>
</xs:complexType>
</xs:element>
</xs:sequence>
<xs:attribute name="desc" type="name" use="required"/>
</xs:complexType>
</xs:element>
<xs:element name="GroupConfiguration">
<xs:complexType>
<xs:sequence>
<xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
<xs:annotation>
<xs:documentation>Local Group Configuration</xs:documentation>
</xs:annotation>
</xs:element>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>
関連トピック
フィードバック
フィードバックの送信と表示