Что делает SBS 2011 «под капотом», когда вы предоставляете пользователю доступ администратора?

9

Я использую Windows Server уже много лет, и когда у меня есть кто-то, кому нужен локальный доступ администратора через свою машину, я применяю его через групповую политику аналогично этому ответу .

У одного из моих клиентов есть SBS 2011, и одна из функций, которая на самом деле удивительно удобна, - это управление пользователями и то, насколько легко они делают, предоставляя пользователю доступ локального администратора:

введите описание изображения здесь

Сделав это, я пытался целую вечность охотиться, чтобы увидеть, что он на самом деле применяет «под капотом», но я потерпел неудачу - я не видел никаких связанных политик. настройки или параметры везде, где это применимо.

Кто-нибудь знает, что на самом деле делает SBS 2011, когда вы меняете Access levelпользователя, и есть ли способ легко воспроизвести это на Windows Server, отличном от SBS?

active-directory group-policy windows-sbs-2011 Уильям Хилсум
источник

Ответы:

3

Сервер SBS добавляет учетную запись домена в группу администраторов на локальном компьютере. Это выполняется с помощью вызова WMI на выбранный компьютер с сервера SBS, который помещает учетную запись в группу локальных администраторов.

Способ сделать это самостоятельно с помощью PowerShell:

Function Add-DomainUserToLocalGroup
{
    [cmdletBinding()]
    Param(
    [Parameter(Mandatory=$True)]
    [string]$computer,
    [Parameter(Mandatory=$True)]
    [string]$group,
    [Parameter(Mandatory=$True)]
    [string]$domain,
    [Parameter(Mandatory=$True)]
    [string]$user
    )
        $de = [ADSI]"WinNT://$computer/$Group,group"
        $de.psbase.Invoke("Add",([ADSI]"WinNT://$domain/$user").path)
} #end function Add-DomainUserToLocalGroup

Код взят из скриптового блога.

Это можно реплицировать с сервера, отличного от SBS, при условии, что компьютер, к которому вы добавляете пользователя, является частью домена, а пользователь, за исключением команды, имеет разрешения на добавление локального администратора и исключения брандмауэра для «Windows Remote». Управление "включены для сети, из которой будет исходить команда.

Persistent13
источник
Спасибо, и это действительно круто - но, вы уверены, что так оно и есть на самом деле (и тогда я думаю, что хранить в локальной БД / аналогичной) ... Я спрашиваю, потому что это работает, даже когда компьютер не в сети, и я Не уверен, что какое-либо обновление, такое как это, получит шанс на запуск. Мне любопытно, является ли это просто методом достижения этой цели, или это метод, который SBS фактически использует, поскольку в этой статье вообще не упоминается SBS. Тем не менее, очень хорошо и спасибо.
Уильям Хилсум
Спасибо за информацию, это определенно происходит - я вижу ее в «Пользователи и компьютеры Active Directory», переходя к рассматриваемому компьютеру, щелкаю правой кнопкой мыши> «Управление» и затем перехожу к «Локальные пользователи и группы». Пользователь находится в группе «Администраторы» этого компьютера. НО: удаление его в этой консоли не удаляет настройки в консоли SBS. Кроме того, консоль SBS утверждает, что параметры применяются при следующей синхронизации объекта групповой политики. Таким образом, должен существовать объект групповой политики, который (единовременно?) Применяет этот параметр («Добавить пользователя домена X в локальную группу« Администраторы »)», например, при следующей перезагрузке.
Нико Р