Che cosa fa SBS 2011 "sotto il cofano" quando si dà a un utente l'accesso come amministratore?

9

Uso Windows Server ormai da molti anni e quando ho qualcuno che necessita dell'accesso dell'amministratore locale sulla propria macchina, lo applico tramite i criteri di gruppo in modo simile a questa risposta .

Uno dei miei clienti ha SBS 2011 e, una delle caratteristiche che è sorprendentemente ordinata è la gestione degli utenti e la facilità con cui facilitano l'accesso dell'amministratore locale a un utente:

inserisci qui la descrizione dell'immagine

Dopo aver fatto questo, stavo cercando di cercare da anni per vedere cosa si stava effettivamente applicando "sotto il cofano", ma, non ci riuscivo - non riuscivo a vedere alcuna politica collegata. impostazioni o opzioni ovunque venga applicato.

Qualcuno sa cosa fa effettivamente SBS 2011 quando si cambia l' Access levelutente, ed è comunque possibile replicarlo facilmente su Windows Server non SBS?

active-directory  group-policy  windows-sbs-2011 
William Hilsum
fonte

Risposte:

3

Il server SBS aggiunge l'account di dominio al gruppo degli amministratori sul computer locale. Ciò avviene tramite una chiamata WMI al computer selezionato dal server SBS che inserisce l'account nel gruppo degli amministratori locali.

Un metodo per ottenere questo da soli tramite PowerShell sarebbe:

Function Add-DomainUserToLocalGroup
{
    [cmdletBinding()]
    Param(
    [Parameter(Mandatory=$True)]
    [string]$computer,
    [Parameter(Mandatory=$True)]
    [string]$group,
    [Parameter(Mandatory=$True)]
    [string]$domain,
    [Parameter(Mandatory=$True)]
    [string]$user
    )
        $de = [ADSI]"WinNT://$computer/$Group,group"
        $de.psbase.Invoke("Add",([ADSI]"WinNT://$domain/$user").path)
} #end function Add-DomainUserToLocalGroup

Codice proveniente dal blog di scripting guy .

Questo può essere replicato da un server non SBS fintanto che il computer a cui si sta aggiungendo l'utente fa parte del dominio, l'utente che esegue il comando dispone delle autorizzazioni per aggiungere un amministratore locale e ha le eccezioni del firewall per "Windows Remote Gestione "sono abilitati per la rete da cui proviene il comando.

Persistent13
fonte
Grazie, e questo è davvero bello - ma, sei sicuro che è così che funziona (e quindi immagino che memorizzi in un DB locale / simile) ... Lo chiedo perché funziona anche quando il pc è offline e lo sono non sono sicuro che qualsiasi tipo di aggiornamento come questo avrebbe la possibilità di essere eseguito. Sono curioso di sapere se questo è solo un metodo per realizzarlo, o se questo è il metodo che SBS effettivamente utilizza come quell'articolo non menziona affatto SBS. Comunque, molto bene e grazie.
William Hilsum,
Grazie per le informazioni, questo accade sicuramente: posso vederlo in "Utenti e computer di Active Directory", accedere al computer in questione, fare clic con il pulsante destro del mouse> Gestisci, quindi andare su "Utenti e gruppi locali". L'utente è nel gruppo "Amministratori" di quel computer. MA: la rimozione in questa console non rimuove l'impostazione nella console SBS. Inoltre, la console SBS afferma che le impostazioni vengono applicate con la successiva sincronizzazione dell'oggetto Criteri di gruppo. Quindi deve esserci un oggetto Criteri di gruppo che (una volta?) Applica questa impostazione ("Aggiungi utente di dominio X al gruppo" Amministratori "locale) al prossimo riavvio.
Nico R,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.