SBS 2011 làm gì dưới mui xe, khi bạn cấp quyền truy cập quản trị viên?


9

Tôi đã sử dụng Windows Server nhiều năm nay và khi tôi có người cần quyền truy cập quản trị viên cục bộ qua máy của họ, tôi áp dụng nó thông qua chính sách nhóm theo cách tương tự với câu trả lời này .

Một trong những khách hàng của tôi có SBS 2011, và, một trong những tính năng thực sự gọn gàng đáng ngạc nhiên là quản lý người dùng và cách họ dễ dàng cung cấp cho người dùng quyền truy cập quản trị viên cục bộ:

nhập mô tả hình ảnh ở đây

Sau khi làm điều này, tôi đã cố gắng săn lùng nhiều năm để xem những gì nó thực sự được áp dụng "dưới mui xe", nhưng, tôi đã thất bại - tôi không thể thấy bất kỳ chính sách liên kết nào. cài đặt hoặc tùy chọn bất cứ nơi nào được áp dụng.

Có ai biết SBS 2011 thực sự làm gì khi bạn thay đổi Access levelngười dùng không và có cách nào dễ dàng sao chép điều này trên máy chủ Windows SBS không?

Câu trả lời:


3

Máy chủ SBS thêm tài khoản miền vào nhóm quản trị viên trên máy tính cục bộ. Nó thực hiện điều này thông qua một cuộc gọi WMI đến máy tính được chọn từ máy chủ SBS đặt tài khoản trong nhóm quản trị viên cục bộ.

Một phương pháp để tự thực hiện điều này thông qua PowerShell sẽ là:

Function Add-DomainUserToLocalGroup
{
    [cmdletBinding()]
    Param(
    [Parameter(Mandatory=$True)]
    [string]$computer,
    [Parameter(Mandatory=$True)]
    [string]$group,
    [Parameter(Mandatory=$True)]
    [string]$domain,
    [Parameter(Mandatory=$True)]
    [string]$user
    )
        $de = [ADSI]"WinNT://$computer/$Group,group"
        $de.psbase.Invoke("Add",([ADSI]"WinNT://$domain/$user").path)
} #end function Add-DomainUserToLocalGroup

Mã nguồn từ blog anh chàng kịch bản .

Điều này có thể được sao chép từ một máy chủ không phải của SBS miễn là máy tính bạn thêm người dùng là một phần của miền, người dùng sử dụng lệnh có quyền thêm quản trị viên cục bộ và có ngoại lệ tường lửa cho "Windows Remote Quản lý "được kích hoạt cho mạng mà lệnh sẽ bắt nguồn từ đó.


Cảm ơn, và điều này thực sự rất tuyệt - nhưng, bạn có chắc đây là cách nó thực sự hoạt động không (và sau đó tôi đoán lưu trữ trong một DB / tương tự cục bộ) ... Tôi hỏi vì nó hoạt động ngay cả khi máy tính ngoại tuyến và tôi không chắc chắn bất kỳ loại cập nhật nào như điều này sẽ có cơ hội chạy. Tôi tò mò liệu đây chỉ là một phương pháp để hoàn thành nó hay nếu đây là phương pháp mà SBS thực sự sử dụng vì bài báo đó hoàn toàn không đề cập đến SBS. Tuy nhiên, rất tốt và cảm ơn bạn.
William Hilsum

Cảm ơn thông tin, điều này chắc chắn xảy ra - Tôi có thể thấy nó trong "Người dùng và máy tính Active Directory", điều hướng đến máy tính được đề cập, nhấp chuột phải> Quản lý, sau đó chuyển đến "Người dùng và nhóm cục bộ". Người dùng nằm trong nhóm "Quản trị viên" của máy tính đó. NHƯNG: Xóa nó trong bảng điều khiển này không xóa cài đặt trong bảng điều khiển SBS. Ngoài ra, bảng điều khiển SBS nói rằng các cài đặt được áp dụng với đồng bộ hóa GPO tiếp theo. Vì vậy, phải có GPO (một lần?) Áp dụng cài đặt này ("Thêm người dùng tên miền X vào nhóm 'Quản trị viên' cục bộ"), ví dụ: khởi động lại tiếp theo.
Nico R
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.