Que fait SBS 2011 «sous le capot» lorsque vous accordez un accès administrateur à un utilisateur?

9

J'utilise Windows Server depuis de nombreuses années maintenant et lorsque j'ai quelqu'un qui a besoin d'un accès administrateur local sur sa machine, je l'applique via la stratégie de groupe de la même manière que cette réponse .

Un de mes clients a SBS 2011, et l'une des fonctionnalités qui est en fait étonnamment soignée est la gestion des utilisateurs et la facilité avec laquelle ils donnent à un utilisateur un accès administrateur local:

entrez la description de l'image ici

Après avoir fait cela, j'essayais de chasser pendant des siècles afin de voir ce qu'il appliquait réellement "sous le capot", mais, j'ai échoué - je ne pouvais pas voir de politiques liées. les paramètres ou les options n'importe où qui est appliqué.

Est-ce que quelqu'un sait ce que SBS 2011 fait réellement lorsque vous changez le nom Access leveld'un utilisateur, et est-il possible de le répliquer facilement sur un serveur Windows non SBS?

William Hilsum
la source

Réponses:

3

Le serveur SBS ajoute le compte de domaine au groupe d'administrateurs sur l'ordinateur local. Il accomplit cela via un appel WMI à l'ordinateur sélectionné à partir du serveur SBS qui place le compte dans le groupe d'administrateurs local.

Une méthode pour accomplir cela vous-même via PowerShell serait:

Function Add-DomainUserToLocalGroup
{
    [cmdletBinding()]
    Param(
    [Parameter(Mandatory=$True)]
    [string]$computer,
    [Parameter(Mandatory=$True)]
    [string]$group,
    [Parameter(Mandatory=$True)]
    [string]$domain,
    [Parameter(Mandatory=$True)]
    [string]$user
    )
        $de = [ADSI]"WinNT://$computer/$Group,group"
        $de.psbase.Invoke("Add",([ADSI]"WinNT://$domain/$user").path)
} #end function Add-DomainUserToLocalGroup

Code provenant du blog de scripting guy .

Cela peut être répliqué à partir d'un serveur non SBS tant que l'ordinateur auquel vous ajoutez l'utilisateur fait partie du domaine, l'utilisateur qui exécute la commande dispose des autorisations pour ajouter un administrateur local et dispose des exceptions de pare-feu pour «Windows Remote Gestion "sont activées pour le réseau d'où proviendrait la commande.

Persistant13
la source
Merci, et c'est vraiment cool - mais, êtes-vous sûr que c'est comme ça qu'il fait (et je suppose que stocker dans une base de données locale / similaire) ... Je demande parce que cela fonctionne même lorsque le PC est hors ligne et je suis Je ne suis pas sûr qu'une sorte de mise à jour comme celle-ci puisse s'exécuter. Je suis curieux de savoir si ce n'est qu'une méthode pour y parvenir, ou si c'est la méthode que SBS utilise réellement car cet article ne mentionne pas du tout SBS. Encore très bien et merci.
William Hilsum
Merci pour l'info, cela se produit définitivement - je peux le voir dans "Utilisateurs et ordinateurs Active Directory", en naviguant vers l'ordinateur en question, cliquez avec le bouton droit> Gérer, puis accédez à "Utilisateurs et groupes locaux". L'utilisateur fait partie du groupe "Administrateurs" de cet ordinateur. MAIS: Le supprimer dans cette console ne supprime pas le paramètre de la console SBS. En outre, la console SBS indique que les paramètres sont appliqués lors de la prochaine synchronisation de GPO. Il doit donc y avoir un GPO qui (une fois?) Applique ce paramètre ("Ajouter l'utilisateur de domaine X au groupe local" Administrateurs "), par exemple lors du prochain redémarrage.
Nico R