我已经使用
Windows Server多年了,当我有人需要通过他们的机器进行本地管理员访问时,我通过组策略以类似的方式应用它
to this answer.
我的一个客户拥有SBS 2011,其中一个实际上非常简洁的功能是用户管理以及它们为用户提供本地管理员访问权限的容易程度:
在这之后,我试图寻找多年来为了看看它实际应用于“引擎盖下”,但是,我失败了 – 我看不到任何相关的政策.应用的任何地方的设置或选项.
当您更改用户的访问级别时,有没有人知道SBS 2011实际上做了什么,并且无论如何都可以在非SBS Windows服务器上轻松复制它?
SBS服务器将域帐户添加到本地计算机上的管理员组.它通过从SBS服务器对所选计算机的WMI调用来实现此目的,该服务器将帐户置于本地管理员组中.
通过PowerShell自己完成此任务的方法是:
Function Add-DomainUserToLocalGroup
{
[cmdletBinding()]
Param(
[Parameter(Mandatory=$True)]
[string]$computer,[Parameter(Mandatory=$True)]
[string]$group,[Parameter(Mandatory=$True)]
[string]$domain,[Parameter(Mandatory=$True)]
[string]$user
)
$de = [ADSI]"WinNT://$computer/$Group,group"
$de.psbase.Invoke("Add",([ADSI]"WinNT://$domain/$user").path)
} #end function Add-DomainUserToLocalGroup
这可以从非SBS服务器复制,只要您要将用户添加到的计算机是域的一部分,超出该命令的用户具有添加本地管理员的权限,并且具有“Windows Remote”的防火墙例外管理“为命令所源自的网络启用.
