Вопрос в том, если группа AD создается для администраторов SCCM, нужно ли добавлять эту группу AD в группу локальных администраторов всех клиентов SCCM?
Я просто предположил, что любой администратор SCCM, естественно, будет иметь права локального администратора, по крайней мере, на всех рабочих станциях в домене организации и на некоторых, если не на всех, серверах.
ЕДИНСТВЕННАЯ учетная запись, которую я видел, для которой требуются права локального администратора на клиентах, это Учетная запись установки клиента SCCM, но я не видел ничего относительно прав локального администратора для фактических администраторов SCCM.
Например, пользователь, который является членом группы администраторов SCCM, входит на сервер сайта и пытается запустить процесс удаления клиента SCCM с помощью инструментов правой кнопки мыши, он получает сообщение об ошибке «Доступ запрещен». Затем они обнаруживают, что группа AD SCCM Admins не является членом группы локальных администраторов, поэтому у них нет прав локального администратора на этой рабочей станции.
Настоящая история здесь:
ИТ-менеджер подумал, что это нормально - запретить администраторам SCCM права локального администратора, и он подумал, что, когда администратор SCCM входит на сервер сайта и в консоль администратора (RDP на сервер сайта SCCM 2012), любые выполняемые ими действия Системная учетная запись сервера сайта.
Честно говоря, я никогда не сталкивался с этим раньше, потому что в каждой среде, которую я видел, администраторы SCCM также являются локальными администраторами на ВСЕХ клиентах.
Я ценю любую помощь, которую может предложить сообщество.
Всем большое спасибо.
Если пользователь или группа с правами администратора SCCM является членом группы администраторов домена или группы администраторов домена, то они будут членами локальной группы администраторов в результате членства в группе домена. Если нет, то не будет.