Comment ajouter un utilisateur Azure Active Directory au groupe d'administrateurs locaux

18

Avec Windows 10, vous pouvez rejoindre une organisation (= Azure Active Directory) et vous connecter avec vos informations d'identification cloud.

Sur la base des informations fournies ici, le premier compte par ordinateur qui rejoint l'organisation est un administrateur local. Les comptes qui rejoignent après cela ne le sont pas.

Comment en faire des administrateurs locaux?

La boîte de dialogue d'ajout de groupe standard ne me permet pas de sélectionner des utilisateurs dans AzureAD, de rechercher des utilisateurs dans AzureAD. Je peux simplement voir que mon premier compte est dans la liste (répertorié sous AzureAD \ AccountName).

L'intérêt est également: lorsque je me connecte avec le deuxième compte et que je suis invité à entrer un administrateur local (pour appliquer les paramètres de l'ordinateur - UAC, je suppose), il n'acceptera pas le premier compte même s'il s'agit d'un administrateur local.

Alex Duggleby
la source
vous devez changer la réponse acceptée ... Chris Angell a la ligne de commande simple à 1 ligne qui fait tout fonctionner correctement
ckozl

Réponses:

41

Vous pouvez le faire via la ligne de commande! J'ai juste eu ce même problème et après avoir cherché et obtenu rien mais "vous ne pouvez pas" de partout, j'ai (pour des rires et des sourires) essayé cela via la ligne de commande et ça a fonctionné !!

  1. Connectez-vous au PC en tant qu'utilisateur Azure AD dont vous souhaitez être un administrateur local. Cela obtient le GUID sur le PC.

  2. Déconnectez-vous en tant qu'utilisateur et connectez-vous en tant qu'administrateur local.

  3. Ouvrez une invite de commande en tant qu'administrateur et en utilisant la ligne de commande, ajoutez l'utilisateur au groupe d'administrateurs. Par exemple, si j'avais un utilisateur appelé John Doe, la commande serait «administrateurs de groupe local net AzureAD \ JohnDoe / add» sans les guillemets.

Reconnectez-vous en tant qu'utilisateur et ils seront désormais un administrateur local.

Chris Angell
la source
Qu'en est-il des autorisations du système de fichiers? Existe-t-il un moyen d'utiliser l'interface graphique pour les autorisations de système de fichiers?
Monstieur
Vous pourriez peut-être utiliser fileacl pour les autorisations de fichiers?
munrobasher
4
Étape 2: Vous n'avez pas besoin de vous déconnecter + de vous connecter en tant qu'administrateur local. À partir de n'importe quel compte, vous pouvez ouvrir CMD en tant qu'administrateur (il vous demandera des informations d'identification d'administrateur si nécessaire). La prochaine fois que ce compte se connectera, il retirera les nouvelles autorisations.
Hicsy
@Monstieur J'ai créé un groupe local (utilisateur) sans personne (appelé $ MYUSERNAME_user), ajouté l'utilisateur AD avec les instructions ci-dessus, puis utilisé l'interface graphique pour ajouter le groupe local (et donc l'utilisateur) pour les autorisations du système de fichiers. C'est un kluge, mais ça marche. Probablement pas bon pour un système largement utilisé de peur que quelqu'un ajoute plus d'utilisateurs au groupe local, mais suffisant pour un poste de travail mono-utilisateur.
Keith Robertson
1

D'après mon expérience, aucune option n'est disponible pour ajouter un seul compte AAD au groupe d'administrateurs local. Ce que vous pouvez faire, c'est ajouter des administrateurs supplémentaires pour TOUS les appareils qui ont rejoint Azure AD. Vous pouvez le faire via la console azure sur https://manage.windowsazure.com pour lequel vous avez besoin d'une licence AAD). Vous pouvez trouver cette option en cliquant sur le nom de votre locataire et cliquez sur l'onglet «Configurer». Recherchez la section «appareils».

Cela signifie que deux utilisateurs AAD ne peuvent pas être administrateur local sur le même appareil en même temps, sauf si l'un des utilisateurs est un administrateur global pour tous les appareils ... Dans le cas où la machine Windows doit changer de propriétaire, cela nécessite également local droits d'administrateur sur la machine spécifique, vous devez vous désinscrire de AAD et vous réinscrire à l'aide du nouveau compte utilisateur propriétaire.

J'ai essayé cela et à ma grande surprise, l'administrateur local intégré n'avait pas les autorisations pour rejoindre Azure AD. Cliquer sur le bouton n'a donné aucune réponse. Ce n'est qu'après avoir ajouté un autre compte d'administrateur local et ouvert une session localement avec cet utilisateur que j'ai pu démarrer le processus de jointure. Dans l'écran de connexion, j'ai spécifié l'utilisateur Azure AD / 0365. Celui-ci est devenu correctement l'administrateur local.

Voir aussi le blog ci-dessous:

Azure ad join windows 10

Cyril
la source
0

Je viens d'arriver ici avec un problème similaire - comment ajouter mon utilisateur Azure au groupe local "Administrateurs Hyper-V".

En plus de la réponse la mieux notée (merci!), Il se trouve que vous pouvez également utiliser la commande PS suivante:

PS> ([adsi]"WinNT://./Hyper-V Administrators,group").Add("WinNT://$env:UserDomain/$env:Username,user")

que j'ai trouvé sur https://docs.okd.io/latest/minishift/troubleshooting/troubleshooting-driver-plugins.html#troubleshooting-driver-hyperv

Pawel Gorczynski
la source