ポリシー CSP - RestrictedGroups

重要

Windows 10 バージョン 20H2 から、RestrictedGroups ポリシーの代わりにLocalUsersandGroupsポリシーを使用して、メンバー (ユーザーまたは AAD グループ) を Windows 10 ローカル グループに構成してください。 両方のポリシーを同じデバイスに適用する方法はサポートされていないため、予期しない結果になる可能性があります。


RestrictedGroups ポリシー

RestrictedGroups/ConfigureGroupMembership

RestrictedGroups/ConfigureGroupMembership

エディション Windows 10 Windows 11
ホーム いいえ いいえ
Pro はい はい
Business はい はい
Enterprise はい はい
Education はい はい

範囲:

  • デバイス

このセキュリティ設定を使用すると、管理者はセキュリティに依存する (制限された) グループの一部であるメンバーを定義できます。 制限付きグループ ポリシーが適用されると、組み込みの Administrators グループの組み込み管理者を除き、メンバー リストに含めされていない制限付きグループの現在のメンバーは削除されます。 現在制限されたグループのメンバーではないメンバーリストのユーザーが追加されます。 空のメンバー の一覧は、制限されたグループにメンバーが含めないという意味です。 メンバーシップ構成は SIDS に基づくため、これらの組み込みグループの名前を変更しても、この特別なメンバーシップの保持には影響を与えかねない。

たとえば、制限付きグループ ポリシーを作成して、指定したユーザー (Alice と John) のみをバックアップ演算子グループのメンバーに許可できます。 このポリシーが更新されると、Alice と John だけが Backup Operators グループのメンバーとして残り、他のすべてのメンバーが削除されます。

注意事項

組み込みの管理者を Administrators グループから削除しようとすると、次のエラーが発生して失敗します。

エラー コード シンボリック名 エラーの説明 ヘッダー
0x55b (Hex)
1371 (12 月)
ERROR_SPECIAL_ACCOUNT 組み込みのアカウントでこの操作を実行できません。 winerror.h

このスキーマWindows 10 Version 1809、RestrictedGroups/ConfigureGroupMembership ポリシーの取得とアプリケーションに使用できます。 ポリシーを適用する際にメンバーがゼロになる最小出現は、アクセス グループのクリアを意味し、注意して使用する必要があります。

<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">  
  <xs:simpleType name="member_name">
    <xs:restriction base="xs:string">
      <xs:maxLength value="255" />
    </xs:restriction>
  </xs:simpleType>
  <xs:element name="accessgroup">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="member" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Restricted Group Member</xs:documentation>
          </xs:annotation>
          <xs:complexType>
           <xs:attribute name="name" type="member_name" use="required"/>
          </xs:complexType>
        </xs:element>
      </xs:sequence>
      <xs:attribute name="desc" type="member_name" use="required"/>
    </xs:complexType>
  </xs:element>
  <xs:element name="groupmembership">
    <xs:complexType>
       <xs:sequence>
          <xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
           <xs:annotation>
              <xs:documentation>Restricted Group</xs:documentation>
            </xs:annotation>
          </xs:element>
       </xs:sequence>
    </xs:complexType>
   </xs:element>
</xs:schema>

以下に例を示します。

<groupmembership>
    <accessgroup desc = "Group1">
        <member name = "S-1-15-6666767-76767676767-666666777"/>
        <member name = "contoso\Alice"/>
    </accessgroup>
    <accessgroup desc = "Group2">
        <member name = "S-1-15-1233433-23423432423-234234324"/>
        <member name = "contoso\Group3"/>
    </accessgroup>
</groupmembership>

この場合

  • <accessgroup desc> 構成するローカル グループ SID またはグループ名が含まれる。 ここで SID を指定すると、ポリシーは LookupAccountName API を使用してローカル グループ名を取得します。 最適な結果を得る場合は、 の名前を使用します <accessgroup desc>

  • <member name> にグループに追加するメンバーが含まれる <accessgroup desc> 。 メンバーは、名前または SID として指定できます。 最適な結果を得る場合は、SID を使用します <member name> 。 メンバー SID には、ユーザー アカウントまたはグループ (AD、Azure ADコンピューター) を指定できます。 ここで名前を指定すると、ポリシーは LookupAccountSID API を使用して対応する SID を取得します。 名前は、ユーザー アカウントまたはローカル コンピューター内のグループAD使用できます。 メンバーシップは 、NetLocalGroupSetMembers API を使用して構成 されます。

  • この例では、構成されているデバイス上のローカル グループであり、 Group1 Group2 ドメイン Group3 グループです。

注意

現在、RestrictedGroups/ConfigureGroupMembership ポリシーには MemberOf 機能が含めではありません。 ただし、前の例に示すように、メンバー部分を使用して、ドメイン グループをメンバーとしてローカル グループに追加できます。

ポリシーのタイムライン

このポリシー設定の動作は、バージョンによってWindows 10異なります。 バージョン Windows 10 Version 1809バージョン 1909 の場合は、name in と <accessgroup dec> SID を使用できます <member name> 。 バージョン 2004 Windows 10、このトピックで説明するように、両方の要素に名前または SID を使用できます。

次の表では、このポリシー設定がさまざまなバージョンでどのように動作Windows 10示します。

Windows 10 のバージョン ポリシーの動作
Windows 10 Version 1803 このポリシー設定を追加しました。
XML は、名前によってのみグループとメンバーを受け入れる。
グループ名を使用した管理者グループの構成をサポートします。
メンバー名がアカウント名の形式である必要があります。
Windows 10 Version 1809
Windows 10 Version 1903
Windows 10 Version 1909
ローカル グループの構成をサポートします。
<accessgroup desc> 名前のみを受け入れる。
<member name> 名前または SID を受け入れる。
これは、特定のローカル グループが常に既知の SID をメンバーとして持つ必要がある場合に便利です。
Windows 10 バージョン 2004 このトピックの説明に従って動作します。
グループとメンバーの名前または SID を受け入れ、必要に応じて翻訳します。