ユーザーに管理者アクセスを許可した場合、SBS 2011は「内部」で何をしますか?

9

私は何年にもわたってWindows Serverを使用しており、自分のマシンに対するローカル管理者アクセスを必要とする人がいる場合は、この回答と同様の方法でグループポリシーを介して適用します

私のクライアントの1つにSBS 2011があり、実際に驚くほど便利な機能の1つは、ユーザー管理と、ユーザーにローカル管理者アクセスを与えるのがいかに簡単かです。

ここに画像の説明を入力してください

これを実行した後、実際に何が適用されているのかを確認するために、何年も探し回っていましたが、失敗しました-リンクされたポリシーが表示されませんでした。適用される任意の設定またはオプション。

Access levelユーザーを変更したときにSBS 2011が実際に行うことを誰かが知っていますか?とにかく、これをSBS以外のWindowsサーバーで簡単に複製できますか?

active-directory  group-policy  windows-sbs-2011 
ウィリアム・ヒルサム
ソース

回答:

3

SBSサーバーは、ドメインアカウントをローカルコンピューターの管理者グループに追加します。ローカル管理者グループにアカウントを配置するSBSサーバーから選択したコンピューターへのWMI呼び出しを介してこれを実現します。

PowerShellを使用してこれを自分で実現する方法は次のとおりです。

Function Add-DomainUserToLocalGroup
{
    [cmdletBinding()]
    Param(
    [Parameter(Mandatory=$True)]
    [string]$computer,
    [Parameter(Mandatory=$True)]
    [string]$group,
    [Parameter(Mandatory=$True)]
    [string]$domain,
    [Parameter(Mandatory=$True)]
    [string]$user
    )
        $de = [ADSI]"WinNT://$computer/$Group,group"
        $de.psbase.Invoke("Add",([ADSI]"WinNT://$domain/$user").path)
} #end function Add-DomainUserToLocalGroup

Scripting Guyのブログからのコード。

ユーザーを追加するコンピューターがドメインの一部であり、コマンドを実行しているユーザーにローカル管理者を追加する権限があり、「Windowsリモートコマンドの発信元のネットワークで管理が有効になっています。

永続的13
ソース
ありがとう、これは本当にクールです-しかし、これが実際にそれを実行する方法であると確信していますか(そして、ローカルDB /同様の場所に格納していると思います)... PCがオフラインでも動作しているので、私は尋ねますこのような更新が実行される可能性があるかどうかは不明です。これがそれを達成するための方法にすぎないのか、またはこの記事がSBSについてまったく触れていないため、これがSBSが実際に使用している方法なのかどうか知りたいです。それでも、とても良いとありがとうございます。
William Hilsum
情報のおかげで、これは間違いなく起こります-「Active Directoryユーザーとコンピューター」で確認できます。問題のコンピューターに移動し、右クリックして[管理]を選択し、[ローカルユーザーとグループ]に移動します。ユーザーは、そのコンピューターの「管理者」グループに属しています。ただし、このコンソールで削除しても、SBSコンソールの設定は削除されません。また、SBSコンソールは、設定が次のGPO同期で適用されることを示します。したがって、たとえば次の再起動時に、この設定(「ドメインユーザーXをローカルの「管理者」グループに追加する」)を(一度だけ)適用するGPOが必要です。
ニコR
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.