¿Qué hace SBS 2011 "bajo el capó" cuando le da acceso de administrador a un usuario?

9

He estado usando Windows Server durante muchos años y cuando tengo a alguien que necesita acceso de administrador local en su máquina, lo aplico a través de la política de grupo de manera similar a esta respuesta .

Uno de mis clientes tiene SBS 2011, y una de las características que en realidad es sorprendentemente ordenada es la administración de usuarios y la facilidad con la que dan acceso de administrador local a un usuario:

ingrese la descripción de la imagen aquí

Después de hacer esto, estaba tratando de cazar durante años para ver qué estaba aplicando "bajo el capó", pero fallé, no pude ver ninguna política vinculada. configuraciones u opciones en cualquier lugar que se aplique.

¿Alguien sabe qué hace realmente SBS 2011 cuando cambia la Access levelde un usuario, y hay alguna forma de replicarlo fácilmente en un servidor Windows que no sea SBS?

William Hilsum
fuente

Respuestas:

3

El servidor SBS agrega la cuenta de dominio al grupo de administradores en la computadora local. Esto se logra a través de una llamada WMI a la computadora seleccionada desde el servidor SBS que coloca la cuenta en el grupo de administradores locales.

Un método para lograr esto usted mismo a través de PowerShell sería:

Function Add-DomainUserToLocalGroup
{
    [cmdletBinding()]
    Param(
    [Parameter(Mandatory=$True)]
    [string]$computer,
    [Parameter(Mandatory=$True)]
    [string]$group,
    [Parameter(Mandatory=$True)]
    [string]$domain,
    [Parameter(Mandatory=$True)]
    [string]$user
    )
        $de = [ADSI]"WinNT://$computer/$Group,group"
        $de.psbase.Invoke("Add",([ADSI]"WinNT://$domain/$user").path)
} #end function Add-DomainUserToLocalGroup

Código procedente del blog de scripting guy .

Esto se puede replicar desde un servidor que no sea SBS siempre que la computadora a la que está agregando el usuario sea parte del dominio, el usuario que exceda el comando tenga permisos para agregar un administrador local y tenga las excepciones de firewall para "Windows Remote Administración "están habilitados para la red desde la que se originaría el comando.

Persistente13
fuente
Gracias, y esto es realmente genial, pero, ¿estás seguro de que así es como lo hace realmente (y luego supongo que lo guardas en un DB local / similar)? No estoy seguro de que algún tipo de actualización como esta tenga la oportunidad de ejecutarse. Tengo curiosidad por saber si este es solo un método para lograrlo, o si este es el método que SBS realmente usa, ya que ese artículo no menciona a SBS en absoluto. Aún así, muy bien y gracias.
William Hilsum
Gracias por la información, esto definitivamente sucede: puedo verlo en "Usuarios y equipos de Active Directory", navegando a la computadora en cuestión, haga clic con el botón derecho> Administrar y luego vaya a "Usuarios y grupos locales". El usuario está en el grupo "Administradores" de esa computadora. PERO: Eliminarlo en esta consola no elimina la configuración en la consola SBS. Además, la consola SBS indica que la configuración se aplica con la próxima sincronización de GPO. Por lo tanto, debe haber un GPO que (¿una vez?) Aplica esta configuración ("Agregar usuario de dominio X al grupo 'Administradores' local") en, por ejemplo, el próximo reinicio.
Nico R