Active-Directory

當您授予使用者管理員訪問權限時,SBS 2011 在“幕後”做了什麼?

  • March 30, 2020

我已經使用 Windows Server 很多年了,當我有人需要通過他們的機器進行本地管理員訪問時,我通過組策略以與此答案類似的方式應用它。

我的一位客戶擁有 SBS 2011,並且,實際上令人驚訝的簡潔功能之一是使用者管理以及他們為使用者提供本地管理員訪問權限是多麼容易:

在此處輸入圖像描述

這樣做之後,我試圖尋找很長時間,以了解它在“幕後”實際應用了什麼,但是,我失敗了——我看不到任何相關的政策。任何應用的設置或選項。

有誰知道 SBS 2011 在您更改Access level使用者時實際上做了什麼,並且無論如何可以在非 SBS Windows Server 上輕鬆複製它?

SBS 伺服器將域帳戶添加到本地電腦上的管理員組。它通過從將帳戶置於本地管理員組中的 SBS 伺服器對選定電腦的 WMI 呼叫來完成此操作。

通過 PowerShell 自己完成此操作的方法是:

Function Add-DomainUserToLocalGroup
{
   [cmdletBinding()]
   Param(
   [Parameter(Mandatory=$True)]
   [string]$computer,
   [Parameter(Mandatory=$True)]
   [string]$group,
   [Parameter(Mandatory=$True)]
   [string]$domain,
   [Parameter(Mandatory=$True)]
   [string]$user
   )
       $de = [ADSI]"WinNT://$computer/$Group,group"
       $de.psbase.Invoke("Add",([ADSI]"WinNT://$domain/$user").path)
} #end function Add-DomainUserToLocalGroup

程式碼來自腳本專家部落格。

這可以從非 SBS 伺服器複製,只要您添加使用者的電腦是域的一部分,執行命令的使用者有權添加本地管理員,並且具有“Windows 遠端”的防火牆例外為命令將源自的網路啟用“管理”。

引用自:https://serverfault.com/questions/664172