Apa yang dilakukan SBS 2011 “di bawah tenda” ketika Anda memberikan akses admin pengguna?

9

Saya telah menggunakan Windows Server selama bertahun-tahun sekarang dan ketika saya memiliki seseorang yang membutuhkan akses admin lokal melalui mesin mereka, saya menerapkannya melalui kebijakan grup dengan cara yang mirip dengan jawaban ini .

Salah satu klien saya memiliki SBS 2011, dan, salah satu fitur yang ternyata sangat rapi adalah manajemen pengguna dan betapa mudahnya mereka memberikan akses admin lokal kepada pengguna:

masukkan deskripsi gambar di sini

Setelah melakukan ini, saya mencoba untuk berburu selama berabad-abad untuk melihat apa yang sebenarnya diterapkan "di balik tenda", tetapi, saya gagal - saya tidak bisa melihat kebijakan yang terkait. pengaturan atau opsi di mana saja yang diterapkan.

Adakah yang tahu apa yang sebenarnya dilakukan SBS 2011 ketika Anda mengubah Access levelpengguna, dan apakah ada cara untuk dengan mudah meniru ini di Server Windows non SBS?

William Hilsum
sumber

Jawaban:

3

Server SBS menambahkan akun domain ke grup administrator di komputer lokal. Ini menyelesaikan ini melalui panggilan WMI ke komputer yang dipilih dari server SBS yang menempatkan akun di grup administrator lokal.

Metode untuk melakukannya sendiri melalui PowerShell adalah:

Function Add-DomainUserToLocalGroup
{
    [cmdletBinding()]
    Param(
    [Parameter(Mandatory=$True)]
    [string]$computer,
    [Parameter(Mandatory=$True)]
    [string]$group,
    [Parameter(Mandatory=$True)]
    [string]$domain,
    [Parameter(Mandatory=$True)]
    [string]$user
    )
        $de = [ADSI]"WinNT://$computer/$Group,group"
        $de.psbase.Invoke("Add",([ADSI]"WinNT://$domain/$user").path)
} #end function Add-DomainUserToLocalGroup

Kode bersumber dari blog guy skrip .

Ini dapat direplikasi dari server non-SBS selama komputer yang Anda tambahkan pengguna adalah bagian dari domain, pengguna yang mengeksceikan perintah memiliki izin untuk menambahkan administrator lokal, dan memiliki pengecualian firewall untuk "Windows Remote Manajemen "diaktifkan untuk jaringan asal perintah.

Gigih13
sumber
Terima kasih, dan ini benar-benar keren - tetapi, apakah Anda yakin ini benar-benar melakukannya (dan kemudian saya kira menyimpannya dalam DB lokal / serupa) ... Saya bertanya karena berfungsi bahkan ketika pc sedang offline dan saya tidak yakin segala jenis pembaruan seperti ini akan mendapatkan kesempatan untuk berjalan. Saya ingin tahu apakah ini hanya metode untuk mencapainya, atau jika ini adalah metode yang sebenarnya digunakan SBS karena artikel itu tidak menyebutkan SBS sama sekali. Tetap saja sangat baik dan terima kasih.
William Hilsum
Terima kasih atas informasinya, ini pasti terjadi - saya dapat melihatnya di "Pengguna dan Komputer Direktori Aktif", bernavigasi ke komputer yang dimaksud, klik kanan> Kelola, lalu buka "Pengguna dan Grup Lokal". Pengguna berada di grup "Administrator" dari komputer itu. TAPI: Menghapusnya di konsol ini tidak menghapus pengaturan di konsol SBS. Juga, konsol SBS menyatakan bahwa pengaturan diterapkan dengan sinkronisasi GPO berikutnya. Jadi harus ada GPO yang (satu kali?) Menerapkan pengaturan ini ("Tambahkan pengguna domain X ke grup 'Administrator' lokal) pada misal reboot berikutnya.
Nico R