问题是,如果为 SCCM 管理员创建了一个 AD 组,是否需要将该 AD 组添加到所有 SCCM 客户端的本地管理员组中?
我只是假设任何 SCCM 管理员自然都会至少对组织域内的所有工作站以及部分(如果不是全部)服务器拥有本地管理权限。
我所见过的唯一需要客户端本地管理员权限的帐户是 SCCM 客户端安装帐户,但我还没有看到任何有关实际 SCCM 管理员的本地管理员权限的内容。
例如,SCCM 管理员组成员的用户登录到站点服务器并尝试使用右键单击工具运行 SCCM 客户端卸载过程,他们会收到一条错误消息,提示“拒绝访问”。然后他们发现 SCCM 管理员 AD 组不是本地管理员组的成员,因此他们在该工作站上没有本地管理员权限。
真实故事如下:
IT 经理认为不允许 SCCM 管理员本地管理员权限是可以的,并且他认为当 SCCM 管理员登录到站点服务器和管理控制台(RDP 到 SCCM 2012 站点服务器)时,他们执行的任何操作都是使用站点服务器的系统帐户。
说实话,我以前从未处理过这个问题,因为我见过的每个环境都有 SCCM 管理员作为所有客户端的本地管理员。
我感谢社区提供的任何帮助。
非常感谢大家。
答案1
如果 SCCM 管理员用户或组是域管理员或域管理员组的成员,那么由于域组成员身份,他们将是本地管理员组的成员。如果不是,则不会。