Что делает SBS 2011 «под капотом», когда вы предоставляете пользователю права администратора?
Я использую Windows Server уже много лет, и когда у меня есть кто-то, кому нужен доступ локального администратора на своей машине, я применяю его через групповую политику аналогичным образом. на этот ответ.
У одного из моих клиентов есть SBS 2011, и одна из функций, которая на самом деле удивительно аккуратна, - это управление пользователями и то, насколько легко они позволяют предоставить пользователю доступ локального администратора:
После этого я пытался целую вечность искать вокруг, чтобы увидеть, что на самом деле применяется «под капотом», но мне не удалось - я не увидел никаких связанных политик. настройки или параметры везде, где они применяются.
Кто-нибудь знает, что на самом деле делает SBS 2011, когда вы меняете Access level пользователя, и есть ли способ легко воспроизвести это на сервере Windows, отличном от SBS?
Сервер SBS добавляет учетную запись домена в группу администраторов на локальном компьютере. Это достигается через WMI-вызов выбранного компьютера с сервера SBS, который помещает учетную запись в группу локальных администраторов.
Один из способов сделать это самостоятельно с помощью PowerShell:
Function Add-DomainUserToLocalGroup
{
[cmdletBinding()]
Param(
[Parameter(Mandatory=$True)]
[string]$computer,
[Parameter(Mandatory=$True)]
[string]$group,
[Parameter(Mandatory=$True)]
[string]$domain,
[Parameter(Mandatory=$True)]
[string]$user
)
$de = [ADSI]"WinNT://$computer/$Group,group"
$de.psbase.Invoke("Add",([ADSI]"WinNT://$domain/$user").path)
} #end function Add-DomainUserToLocalGroup
Код взят из сценарист блог.
Это может быть реплицировано с сервера, отличного от SBS, если компьютер, на который вы добавляете пользователя, является частью домена, пользователь, выполнивший команду, имеет разрешения на добавление локального администратора и исключения брандмауэра для «Windows Remote Управление "включены для сети, из которой будет исходить команда.