Wie füge ich Azure Active Directory-Benutzer der lokalen Administratorgruppe hinzu?

18

Unter Windows 10 können Sie einer Organisation beitreten (= Azure Active Directory) und sich mit Ihren Cloud-Anmeldeinformationen anmelden.

Basierend auf den hier bereitgestellten Informationen ist das erste Konto pro Computer, das der Organisation beitritt, ein lokaler Administrator. Die Konten, die danach beitreten, sind nicht.

Wie mache ich sie zu lokalen Administratoren?

Über das Standarddialogfeld zum Hinzufügen von Gruppen kann ich keine Benutzer aus AzureAD auswählen und keine Benutzer aus AzureAD suchen. Ich kann einfach sehen, dass mein erstes Konto in der Liste enthalten ist (aufgeführt als AzureAD \ AccountName).

Interessant ist auch: Wenn ich mich mit dem zweiten Konto anmelde und nach einem lokalen Administrator gefragt werde (zum Anwenden der Computereinstellungen - UAC, nehme ich an), wird das erste Konto nicht akzeptiert, obwohl es ein lokaler Administrator ist.

Alex Duggleby
quelle
Sie müssen die akzeptierte Antwort ändern ... Chris Angell hat die einfache 1-Zeilen-Befehlszeile, mit der alles richtig funktioniert
ckozl

Antworten:

40

Sie können dies über die Kommandozeile tun! Ich hatte gerade das gleiche Problem und nachdem ich von überall aus gesucht und nichts als "du kannst nicht" bekommen hatte, versuchte ich dies (für Kichern und Grinsen) über die Befehlszeile und es funktionierte !!

  1. Melden Sie sich als Azure AD-Benutzer, der lokaler Administrator sein soll, am PC an. Dadurch wird die GUID auf den PC übertragen.

  2. Melden Sie sich als dieser Benutzer ab und melden Sie sich als lokaler Administrator an.

  3. Öffnen Sie eine Eingabeaufforderung als Administrator und fügen Sie den Benutzer über die Befehlszeile der Administratorgruppe hinzu. Wenn ich beispielsweise einen Benutzer namens John Doe hätte, wäre der Befehl "net localgroup administrators AzureAD \ JohnDoe / add" ohne die Anführungszeichen.

Melden Sie sich erneut als Benutzer an, und der Benutzer wird jetzt lokaler Administrator.

Chris Angell
quelle
Was ist mit Dateisystemberechtigungen? Gibt es eine Möglichkeit, die GUI für Dateisystemberechtigungen zu verwenden?
Monstieur
Sie könnten vielleicht fileacl für Dateiberechtigungen verwenden?
Munrobasher
4
Schritt 2: Sie müssen sich nicht als lokaler Administrator abmelden und anmelden. Sie können CMD von jedem Konto aus als Administrator öffnen (bei Bedarf werden Administratoranmeldeinformationen abgefragt). Wenn sich das Konto dann das nächste Mal anmeldet, werden die neuen Berechtigungen abgerufen.
Hicsy
@Monstieur Ich habe eine lokale (Benutzer-) Gruppe mit niemandem darin erstellt (mit dem Namen $ MYUSERNAME_user), den AD-Benutzer mit den obigen Anweisungen hinzugefügt und dann die GUI verwendet, um die lokale Gruppe (und damit den Benutzer) für Dateisystemberechtigungen hinzuzufügen. Es ist ein Kluge, aber es funktioniert. Wahrscheinlich nicht gut für ein weit verbreitetes System, damit nicht mehr Benutzer zur lokalen Gruppe hinzugefügt werden, aber ausreichend für eine Einzelbenutzer-Workstation.
Keith Robertson
1

Meiner Erfahrung nach gibt es auch keine Möglichkeit, der lokalen Administratorgruppe ein einzelnes AAD-Konto hinzuzufügen. Sie können zusätzliche Administratoren für ALLE Geräte hinzufügen, die Azure AD beigetreten sind. Sie können dies über die Azure-Konsole unter https://manage.windowsazure.com tun, für die Sie eine AAD-Lizenz benötigen. Sie finden diese Option, indem Sie auf den Namen Ihres Mandanten klicken und auf die Registerkarte "Konfigurieren" klicken. Suchen Sie nach dem Abschnitt "Geräte".

Dies bedeutet, dass zwei AAD-Benutzer nicht gleichzeitig lokaler Administrator auf demselben Gerät sein können, es sei denn, einer der Benutzer ist ein globaler Administrator für alle Geräte. Falls der Windows-Computer den Besitzer ändern muss, muss dies auch lokal erfolgen Für Administratorrechte auf dem jeweiligen Computer müssen Sie die Verbindung zu AAD beenden und die Verbindung mit dem neuen Besitzerkonto wiederherstellen.

Ich habe dies versucht und zu meiner Überraschung hatte der integrierte lokale Administrator keine Berechtigung, Azure AD beizutreten. Durch Klicken auf die Schaltfläche wurde keine Antwort gegeben. Erst nachdem ich ein weiteres lokales Administratorkonto hinzugefügt und mich lokal mit diesem Benutzer angemeldet habe, konnte ich den Beitrittsprozess starten. Im Anmeldebildschirm habe ich den Azure AD / 0365-Benutzer angegeben. Dieser wurde korrekt zum lokalen Administrator.

Siehe auch den Blog unten:

Azure Ad Join Windows 10

Cyril
quelle
0

Ich bin gerade mit einem ähnlichen Problem hier gelandet: Wie füge ich meinen Azure-Benutzer der lokalen Gruppe "Hyper-V-Administratoren" hinzu?

Abgesehen von der bestbewerteten Antwort (danke!) Können Sie dies auch mit dem folgenden PS-Befehl tun:

PS> ([adsi]"WinNT://./Hyper-V Administrators,group").Add("WinNT://$env:UserDomain/$env:Username,user")

die ich auf https://docs.okd.io/latest/minishift/troubleshooter-driver-plugins.html#troubleshooter-driver-hyperv gefunden habe

Pawel Gorczynski
quelle