ポリシー CSP - RestrictedGroups

  • [アーティクル]

重要

バージョン 20H2 Windows 10以降、Windows ローカル グループのメンバーを構成するには、RestrictedGroups ポリシーではなく LocalUsersandGroups ポリシーを使用します。 これらのメンバーには、ユーザーまたはMicrosoft Entra グループを指定できます。

両方のポリシーを同じデバイスに適用しないでください。サポートされていないため、予期しない結果が得られる可能性があります。

ConfigureGroupMembership

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー		 ✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC		 ✅Windows 10、バージョン 1803 [10.0.17134] 以降 
./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership

このセキュリティ設定を使用すると、管理者はセキュリティに依存する (制限された) グループのメンバーを定義できます。 制限付きグループ ポリシーが適用されると、[メンバー] リストにない制限付きグループの現在のメンバーはすべて削除されます。 現在制限付きグループのメンバーではないメンバー リストのユーザーが追加されます。 制限付きグループ ポリシーを使用して、グループ メンバーシップを制御できます。 ポリシーを使用して、グループの一部であるメンバーを指定できます。 ポリシーで指定されていないメンバーは、構成または更新中に削除されます。 たとえば、制限付きグループ ポリシーを作成して、指定されたユーザー (Alice や John など) のみを Administrators グループのメンバーにすることを許可できます。 ポリシーが更新されると、Alice と John のみが Administrators グループのメンバーとして残ります。

注意

制限付きグループ ポリシーが適用されている場合、制限付きグループ ポリシー メンバーリストにない現在のメンバーはすべて削除されます。 これには、管理者などの既定のメンバーを含めることができます。 制限付きグループは、主にワークステーションまたはメンバー サーバー上のローカル グループのメンバーシップを構成するために使用する必要があります。 空のメンバー リストは、制限されたグループにメンバーがないことを意味します。

注意

組み込みの Administrators グループから組み込みの管理者アカウントを削除することはできません。 削除しようとすると、コマンドは失敗し、次のエラーが発生します。

エラー コード シンボリック名 エラーの説明 ヘッダー
0x55b (16 進)
1371 (12 月)		 ERROR_SPECIAL_ACCOUNT 組み込みアカウントでこの操作を実行できません。 winerror.h

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

指定可能な値


展開してスキーマ XML を表示する 
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" version="1.0">
  <xs:simpleType name="member_name">
    <xs:restriction base="xs:string">
      <xs:maxLength value="255" />
    </xs:restriction>
  </xs:simpleType>
  <xs:element name="accessgroup">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="member" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Restricted Group Member</xs:documentation>
          </xs:annotation>
          <xs:complexType>
            <xs:attribute name="name" type="member_name" use="required" />
          </xs:complexType>
        </xs:element>
      </xs:sequence>
      <xs:attribute name="desc" type="member_name" use="required" />
    </xs:complexType>
  </xs:element>
  <xs:element name="groupmembership">
    <xs:complexType>
      <xs:sequence>
        <xs:element name="accessgroup" minOccurs="0" maxOccurs="unbounded">
          <xs:annotation>
            <xs:documentation>Restricted Group</xs:documentation>
          </xs:annotation>
        </xs:element>
      </xs:sequence>
    </xs:complexType>
  </xs:element>
</xs:schema>

:

<groupmembership>
    <accessgroup desc = "Group1">
        <member name = "S-1-15-6666767-76767676767-666666777"/>
        <member name = "contoso\Alice"/>
    </accessgroup>
    <accessgroup desc = "Group2">
        <member name = "S-1-15-1233433-23423432423-234234324"/>
        <member name = "contoso\Group3"/>
    </accessgroup>
</groupmembership>

プロパティの説明:

  • <accessgroup desc> には、構成するローカル グループ SID またはグループ名が含まれます。 SID がここで指定されている場合、ポリシーは LookupAccountName API を使用してローカル グループ名を取得します。 最適な結果を得るには、 の名前を使用します <accessgroup desc>

  • <member name> には、 のグループ <accessgroup desc>に追加するメンバーが含まれています。 メンバーは、名前または SID として指定できます。 最適な結果を得るには、 の SID を使用します <member name>。 メンバー SID には、Active Directory、Microsoft Entra ID、またはローカル コンピューターのユーザー アカウントまたはグループを指定できます。 ここで名前を指定すると、 ポリシーは LookupAccountSID API を使用して対応する SID を取得しようとします。 名前は、Active Directory またはローカル コンピューターのユーザー アカウントまたはグループに使用できます。 メンバーシップは、 NetLocalGroupSetMembers API を使用して構成されます。

  • この例では、 Group1Group2 と は、構成されているデバイス上のローカル グループであり Group3 、ドメイン グループです。

現在、RestrictedGroups/ConfigureGroupMembership ポリシーには MemberOf 機能がありません。 ただし、この例に示すように、メンバー部分を使用して、ドメイン グループをメンバーとしてローカル グループに追加できます。

ポリシー タイムライン:

このポリシー設定の動作は、Windows 10バージョンによって異なります。 バージョン 1909 までのWindows 10 Version 1809の場合は、 で と SID <member name><accessgroup desc>名前を使用できます。 バージョン 2004 Windows 10では、例で説明されているように、両方の要素に名前または SID を使用できます。

次の表は、このポリシー設定が異なるWindows 10 バージョンでどのように動作するかを示しています。

Windows 10 のバージョン ポリシーの動作
Windows 10 Version 1803 このポリシー設定を追加しました。
XML は、名前でのみグループとメンバーを受け入れます。
グループ名を使用した管理者グループの構成をサポートします。
メンバー名がアカウント名の形式である必要があります。
Windows 10 Version 1809
Windows 10 Version 1903
Windows 10 Version 1909		 任意のローカル グループの構成をサポートします。
<accessgroup desc> は名前のみを受け入れます。
<member name> は、名前または SID を受け入れます。
この動作は、特定のローカル グループにメンバーとしてよく知られている SID が常に含まれていることを確認する場合に便利です。
Windows 10 バージョン 2004 この記事の説明に従って動作します。
グループとメンバーの名前または SID を受け入れ、必要に応じて変換します。

ポリシー構成サービス プロバイダー