我已经使用 Windows Server 很多年了,当有人需要对其计算机进行本地管理员访问时,我会以类似的方式通过组策略应用它对此答案。
我的一个客户拥有 SBS 2011,其中一个令人惊讶的简洁功能是用户管理以及他们如何轻松地为用户提供本地管理员访问权限:
完成此操作后,我尝试了很长时间以查看它在“幕后”实际应用了什么,但是,我失败了——我看不到任何链接的策略。应用的任何地方的设置或选项。
是否有人知道当您更改用户时 SBS 2011 实际上会做什么Access level,是否有办法在非 SBS Windows Server 上轻松复制此操作?
答案1
SBS 服务器将域帐户添加到本地计算机的管理员组。它通过从 SBS 服务器向选定计算机发出 WMI 调用来实现此目的,该调用会将帐户置于本地管理员组中。
通过 PowerShell 自行完成此操作的方法是:
Function Add-DomainUserToLocalGroup
{
[cmdletBinding()]
Param(
[Parameter(Mandatory=$True)]
[string]$computer,
[Parameter(Mandatory=$True)]
[string]$group,
[Parameter(Mandatory=$True)]
[string]$domain,
[Parameter(Mandatory=$True)]
[string]$user
)
$de = [ADSI]"WinNT://$computer/$Group,group"
$de.psbase.Invoke("Add",([ADSI]"WinNT://$domain/$user").path)
} #end function Add-DomainUserToLocalGroup
代码来源于脚本专家博客。
只要您要添加用户的计算机是域的一部分,执行命令的用户有权添加本地管理员,并且已为命令源自的网络启用了“Windows 远程管理”防火墙例外,就可以从非 SBS 服务器复制此操作。