O que o SBS 2011 faz "escondido" quando você dá acesso a um usuário administrador?

9

Uso o Windows Server há muitos anos e, quando tenho alguém que precisa de acesso de administrador local em sua máquina, eu o aplico através da política de grupo de maneira semelhante a esta resposta .

Um dos meus clientes tem o SBS 2011 e, um dos recursos surpreendentemente interessantes é o gerenciamento de usuários e a facilidade com que eles facilitam o acesso de administrador local ao usuário:

insira a descrição da imagem aqui

Depois de fazer isso, eu estava tentando caçar por séculos para ver o que realmente estava sendo aplicado "por baixo do capô", mas falhei - não consegui ver nenhuma política vinculada. configurações ou opções em qualquer lugar que seja aplicado.

Alguém sabe o que o SBS 2011 realmente faz quando você altera o Access levelusuário e existe alguma maneira de replicá-lo facilmente no Windows Server que não seja o SBS?

William Hilsum
fonte

Respostas:

3

O servidor SBS adiciona a conta de domínio ao grupo de administradores no computador local. Isso é feito por meio de uma chamada WMI para o computador selecionado no servidor SBS que coloca a conta no grupo de administradores locais.

Um método para fazer isso sozinho através do PowerShell seria:

Function Add-DomainUserToLocalGroup
{
    [cmdletBinding()]
    Param(
    [Parameter(Mandatory=$True)]
    [string]$computer,
    [Parameter(Mandatory=$True)]
    [string]$group,
    [Parameter(Mandatory=$True)]
    [string]$domain,
    [Parameter(Mandatory=$True)]
    [string]$user
    )
        $de = [ADSI]"WinNT://$computer/$Group,group"
        $de.psbase.Invoke("Add",([ADSI]"WinNT://$domain/$user").path)
} #end function Add-DomainUserToLocalGroup

Código originário do blog do cara de script .

Isso pode ser replicado de um servidor não SBS, desde que o computador ao qual você está adicionando o usuário faça parte do domínio, o usuário que excede o comando tenha permissões para adicionar um administrador local e as exceções de firewall para "Windows Remote Gerenciamento "estão habilitados para a rede da qual o comando se originaria.

Persistente13
fonte
Obrigado, e isso é muito legal - mas, você tem certeza de que é assim que realmente faz (e acho que armazenar em um banco de dados local / similar) ... pergunto porque funciona mesmo quando o PC está offline e eu estou não tenho certeza de que algum tipo de atualização como essa possa executar. Estou curioso para saber se esse é apenas um método para realizá-lo, ou se esse é o método que o SBS realmente usa, pois esse artigo não menciona o SBS. Ainda assim, muito bom e obrigado.
William Hilsum 26/09
Obrigado pela informação, isso definitivamente acontece - eu posso vê-la em "Usuários e computadores do Active Directory", navegando até o computador em questão, clique com o botão direito do mouse em> Gerenciar e, em seguida, vá em "Usuários e grupos locais". O usuário está no grupo "Administradores" desse computador. MAS: Removê-lo neste console não remove a configuração no console do SBS. Além disso, o console do SBS afirma que as configurações são aplicadas com a próxima sincronização de GPO. Portanto, deve haver um GPO que (uma vez?) Aplique essa configuração ("Adicionar usuário de domínio X ao 'grupo de Administradores' local") na, por exemplo, na próxima reinicialização.
Nico R