Как добавить пользователя Azure Active Directory в группу локальных администраторов

18

В Windows 10 вы можете присоединиться к организации (= Azure Active Directory) и войти в систему, используя свои облачные учетные данные.

Основываясь на информации, предоставленной здесь, первая учетная запись на каждый компьютер, который присоединяется к организации, является локальным администратором. Учетные записи, которые присоединяются после этого, не являются.

Как мне сделать их локальными администраторами?

Стандартный диалог добавления группы не позволяет мне выбирать пользователей из AzureAD, выполнять поиск среди пользователей из AzureAD. Я просто вижу, что моя первая учетная запись находится в списке (указан как AzureAD \ AccountName).

Интересно также: Когда я вхожу со второй учетной записью и получаю приглашение от локального администратора (для применения настроек компьютера - UAC, я предполагаю), он не примет первую учетную запись, даже если это локальный администратор.

Алекс Даглби
источник
вам нужно изменить принятый ответ ... Крис Энджелл имеет простую командную строку с 1 строкой, которая заставляет все работать правильно
ckozl

Ответы:

41

Вы можете сделать это через командную строку! У меня просто была такая же проблема, и после поиска и получения ничего, кроме «ты не можешь» отовсюду, я (для хихиканья и усмешки) попробовал это через командную строку, и ЭТО РАБОТАЛО !!

  1. Войдите в систему как пользователь Azure AD, чтобы стать локальным администратором. Это получает GUID на ПК.

  2. Выйдите как этот пользователь и войдите как локальный администратор.

  3. Откройте командную строку от имени администратора и, используя командную строку, добавьте пользователя в группу администраторов. Например, если бы у меня был пользователь по имени Джон Доу, команда была бы «сетевыми администраторами локальной группы AzureAD \ JohnDoe / add» без кавычек.

Войдите в систему как пользователь, и теперь он будет локальным администратором.

Крис Энджелл
источник
Как насчет разрешений файловой системы? Есть ли способ использовать графический интерфейс для разрешений файловой системы?
Монстер
Вы могли бы использовать fileacl для прав доступа к файлам?
munrobasher
4
Шаг 2: Вам не нужно выходить из системы + входить в систему как локальный администратор. С любой учетной записи вы можете открыть CMD как администратор (при необходимости он запросит учетные данные администратора). Затем в следующий раз, когда эта учетная запись входит в систему, получит новые разрешения.
Хикси
@Monstieur Я создал локальную (пользовательскую) группу, в которой никого нет (она называется $ MYUSERNAME_user), добавил пользователя AD с вышеуказанными инструкциями, а затем использовал графический интерфейс для добавления локальной группы (и, следовательно, пользователя) для разрешений файловой системы. Это клуге, но это работает. Вероятно, не подходит для широко используемой системы, чтобы кто-то не добавил больше пользователей в локальную группу, но достаточно для однопользовательской рабочей станции.
Кит Робертсон
1

По моему опыту также нет возможности добавить одну учетную запись AAD в группу локальных администраторов. Что вы можете сделать, это добавить дополнительных администраторов для ВСЕХ устройств, которые присоединились к Azure AD. Вы можете сделать это через консоль Azure на https://manage.windowsazure.com, для которой вам нужна лицензия AAD). Вы можете найти эту опцию, щелкнув по имени вашего арендатора и перейдя на вкладку «Настройка». Ищите раздел «устройства».

Это означает, что два пользователя AAD не могут быть локальными администраторами на одном устройстве в одно и то же время, если только один из пользователей не является глобальным администратором для всех устройств ... В случае, если машина с Windows должна сменить владельца, ей также нужны локальные администраторы. Права администратора на конкретном компьютере, вам необходимо отсоединиться от AAD и повторно присоединиться, используя учетную запись нового владельца.

Я попытался это сделать, и, к моему удивлению, у встроенного локального администратора не было разрешений на присоединение к Azure AD. Нажатие на кнопку не дало никакого ответа. Только после добавления другой учетной записи локального администратора и локального входа в систему с этим пользователем я мог начать процесс присоединения. На экране входа в систему я указал пользователя Azure AD / 0365. Тот стал локальным администратором правильно.

Смотрите также блог ниже:

Azure ad join windows 10

Сирил
источник
0

Я только что попал сюда с похожей проблемой - как добавить своего пользователя Azure в локальную группу «Администраторы Hyper-V».

Помимо ответа с лучшим рейтингом (спасибо!), Получается, что вы также можете использовать следующую команду PS:

PS> ([adsi]"WinNT://./Hyper-V Administrators,group").Add("WinNT://$env:UserDomain/$env:Username,user")

который я нашел на https://docs.okd.io/latest/minishift/trouфикации/troublesho/troublesho-driver-plugins.html#trou устранения-driver-hyperv

Павел Горчинский
источник