Was macht SBS 2011 „unter der Haube“, wenn Sie einem Benutzer Administratorzugriff gewähren?

9

Ich verwende Windows Server seit vielen Jahren und wenn ich jemanden habe, der lokalen Administratorzugriff über seinen Computer benötigt, wende ich ihn über Gruppenrichtlinien auf ähnliche Weise wie diese Antwort an .

Einer meiner Kunden hat SBS 2011, und eine der Funktionen, die tatsächlich überraschend gut ist, ist die Benutzerverwaltung und wie einfach sie es einem Benutzer machen, lokalen Administratorzugriff zu gewähren:

Geben Sie hier die Bildbeschreibung ein

Nachdem ich dies getan hatte, versuchte ich ewig herumzusuchen, um zu sehen, was tatsächlich "unter der Haube" angewendet wurde, aber ich scheiterte - ich konnte keine verknüpften Richtlinien sehen. Einstellungen oder Optionen überall dort, wo sie angewendet werden.

Weiß jemand, was SBS 2011 tatsächlich tut, wenn Sie die Access leveleines Benutzers ändern , und gibt es überhaupt eine Möglichkeit, dies auf Nicht-SBS-Windows-Servern einfach zu replizieren?

active-directory group-policy windows-sbs-2011 William Hilsum
quelle

Antworten:

3

Der SBS-Server fügt das Domänenkonto der Administratorgruppe auf dem lokalen Computer hinzu. Dies wird über einen WMI-Aufruf des ausgewählten Computers vom SBS-Server erreicht, der das Konto in die Gruppe der lokalen Administratoren einfügt.

Eine Methode, um dies selbst über PowerShell zu erreichen, wäre:

Function Add-DomainUserToLocalGroup
{
    [cmdletBinding()]
    Param(
    [Parameter(Mandatory=$True)]
    [string]$computer,
    [Parameter(Mandatory=$True)]
    [string]$group,
    [Parameter(Mandatory=$True)]
    [string]$domain,
    [Parameter(Mandatory=$True)]
    [string]$user
    )
        $de = [ADSI]"WinNT://$computer/$Group,group"
        $de.psbase.Invoke("Add",([ADSI]"WinNT://$domain/$user").path)
} #end function Add-DomainUserToLocalGroup

Code aus dem Scripting Guy Blog.

Dies kann von einem Nicht-SBS-Server repliziert werden, solange der Computer, zu dem Sie den Benutzer hinzufügen, Teil der Domäne ist, der Benutzer, der den Befehl ausführt, über Berechtigungen zum Hinzufügen eines lokalen Administrators verfügt und über die Firewall-Ausnahmen für "Windows Remote" verfügt Verwaltung "sind für das Netzwerk aktiviert, von dem der Befehl stammen würde.

Persistent13
quelle
Danke, und das ist wirklich cool - aber sind Sie sicher, dass es so funktioniert (und dann in einer lokalen Datenbank / ähnlichem speichern)? Ich frage, weil es funktioniert, auch wenn der PC offline ist und ich es bin Ich bin mir nicht sicher, ob ein solches Update ausgeführt werden kann. Ich bin gespannt, ob dies nur eine Methode ist, um dies zu erreichen, oder ob dies die Methode ist, die SBS tatsächlich verwendet, da in diesem Artikel SBS überhaupt nicht erwähnt wird. Trotzdem sehr gut und danke.
William Hilsum
Vielen Dank für die Informationen, dies passiert definitiv - ich kann es unter "Active Directory-Benutzer und -Computer" sehen, zu dem betreffenden Computer navigieren, mit der rechten Maustaste auf> Verwalten klicken und dann zu "Lokale Benutzer und Gruppen" gehen. Der Benutzer befindet sich in der Gruppe "Administratoren" dieses Computers. ABER: Durch Entfernen in dieser Konsole wird die Einstellung in der SBS-Konsole nicht entfernt. Außerdem gibt die SBS-Konsole an, dass die Einstellungen bei der nächsten GPO-Synchronisierung angewendet werden. Es muss also ein Gruppenrichtlinienobjekt vorhanden sein, das (einmalig?) Diese Einstellung ("Domänenbenutzer X zur lokalen Gruppe" Administratoren hinzufügen ") beim nächsten Neustart anwendet.
Nico R