Как включить локального администратора windows при добавление в азура

Обновлено: 05.07.2024

В Windows 10 вы можете присоединиться к организации (= Azure Active Directory) и войти в систему, используя свои облачные учетные данные.

Основываясь на информации, предоставленной здесь, первая учетная запись на каждый компьютер, который присоединяется к организации, является локальным администратором. Учетные записи, которые присоединяются после этого, не являются.

Как мне сделать их локальными администраторами?

Стандартный диалог добавления группы не позволяет мне выбирать пользователей из AzureAD, выполнять поиск среди пользователей из AzureAD. Я просто вижу, что моя первая учетная запись находится в списке (указан как AzureAD\AccountName).

Интересно также: когда я вхожу со второй учетной записью и получаю приглашение от локального администратора (для применения настроек компьютера - UAC, я предполагаю), он не примет первую учетную запись, даже если это локальный администратор.

3 ответа 3

Вы можете сделать это через командную строку! У меня просто была такая же проблема, и после поиска и получения ничего, кроме «ты не можешь» отовсюду, я (для хихиканья и усмешки) попробовал это через командную строку, и ЭТО РАБОТАЛО !!

Войдите в систему как пользователь Azure AD, чтобы стать локальным администратором. Это получает GUID на ПК.

Выйдите как этот пользователь и войдите как локальный администратор.

Откройте командную строку от имени администратора и, используя командную строку, добавьте пользователя в группу администраторов. Например, если бы у меня был пользователь по имени Джон Доу, команда была бы «сетевыми администраторами локальной группы AzureAD\JohnDoe /add» без кавычек.

Войдите в систему как пользователь, и теперь он будет локальным администратором.

Я попытался это сделать, и, к моему удивлению, у встроенного локального администратора не было разрешений на присоединение к Azure AD. Нажатие на кнопку не дало никакого ответа. Только после добавления другой учетной записи локального администратора и локального входа в систему с этим пользователем я мог начать процесс присоединения. На экране входа в систему я указал пользователя Azure AD/0365. Тот стал локальным администратором правильно.

В Windows 10 вы можете присоединиться к организации (= Azure Active Directory) и войти в систему с вашими облачными учетными данными.

На основе предоставленной информации здесь первая учетная запись на компьютер, который присоединяется к организации, является локальным администратором. Учетные записи, которые присоединяются после этого, не являются.

Как сделать их локальными администраторами?

Стандартный диалог добавления группы не позволяет мне выбирать пользователей из AzureAD, искать у пользователей из AzureAD. Я просто вижу, что моя первая учетная запись находится в списке (указанном как AzureAD \ AccountName).

Интересно также: Когда я вхожу в систему со второй учетной записью и получаю приглашение для локального администратора (для использования настроек компьютера - предположим, что UAC), он не будет принимать первую учетную запись, даже если это локальный администратор.

2 ответа

Вы можете сделать это через командную строку! У меня просто была такая же проблема, и после поиска и получения ничего, кроме «вы не можете» со всех сторон, я (для хихиканья и усмешки) пробовал это через командную строку, и ИТ-РАБОТАЛ!

Войдите в систему как пользователь Azure AD, которым вы хотите быть локальным администратором. Это получает GUID на ПК.

Выйдите из системы как пользователь и войдите в систему как пользователь локального администратора.

Откройте командную строку в качестве администратора и используя командную строку, добавьте пользователя в группу администраторов. В качестве примера, если бы у меня был пользователь под названием John Doe, команда была бы «сетевыми администраторами локальной группы AzureAD \ JohnDoe /add» без кавычек.

Войдите в систему как пользователь, и теперь они будут локальным администратором.

Это означает, что два пользователя AAD не могут быть локальным администратором на одном устройстве одновременно, если только один из пользователей не является глобальным администратором для всех устройств . В случае, если машине Windows необходимо изменить владельца, которому также требуются права локального администратора на конкретной машине, вам необходимо удалить соединение с AAD и повторно присоединиться к новой учетной записи владельца.

Я попробовал это и, к моему удивлению, у встроенного локального администратора не было прав на присоединение к Azure AD. Нажатие кнопки не дало никакого ответа. Только после добавления другой учетной записи локального администратора и входа в систему локально с этим пользователем я мог бы начать процесс соединения. На экране входа в систему я указал пользователя Azure AD /0365. Это стало правильным локальным администратором.

Чтобы управлять устройством Windows, необходимо быть участником группы локальных администраторов. В рамках процесса присоединения к Azure Active Directory (Azure AD) эта служба обновляет членство этой группы на устройстве. Вы можете настроить обновление членства в соответствии с вашими бизнес-требованиями. Обновление членства полезно, если необходимо, к примеру, чтобы специалисты службы поддержки выполняли задачи, для которых требуются права администратора на устройстве.

В этой статье объясняется, как обновляется членство локальных администраторов и как его можно настроить при присоединении к Azure AD. Эта статья не относится к устройствам с гибридным присоединением к Azure AD.

Принцип работы

После подключения устройства Windows к Azure AD путем присоединения Azure AD добавляет следующие субъекты безопасности в группу локальных администраторов на устройстве:

  • роль глобального администратора Azure AD;
  • Роль локального администратора устройства, присоединенного к Azure AD
  • пользователь, выполняющий присоединение к Azure AD.

Добавляя роли Azure AD в группу локальных администраторов, в Azure AD можно в любое время обновить пользователей, которые могут управлять устройством, ничего не изменяя на устройстве. Azure AD также добавляет роль локального администратора устройства, присоединенного к Azure AD, в группу локальных администраторов для поддержки принципа минимальных привилегий. Кроме глобальных администраторов, можно также позволить управлять устройством пользователям, которым назначена только роль администратора устройства.

Управление ролью глобальных администраторов

Сведения о просмотре и обновлении членства роли глобального администратора см. в следующих статьях:

Управление ролью администратора устройства

На портале Azure на странице Устройства можно управлять ролью администратора устройства. Чтобы открыть страницу Устройства, сделайте следующее:

  1. Войдите на портал Azure как глобальный администратор.
  2. Найдите и выберите Azure Active Directory.
  3. В разделе Управление щелкните Устройства.
  4. На странице Устройства выберите Параметры устройства.

Чтобы изменить роль администратора устройства, настройте параметр Дополнительные локальные администраторы на устройствах, присоединенных к Azure AD.

Дополнительные локальные администраторы

Для этого требуется клиент Azure AD Premium.

Администраторы устройств назначаются для всех устройств, присоединенных к Azure AD. Администраторов устройств нельзя ограничить определенным набором устройств. Обновление роли администратора устройства не обязательно напрямую влияет на затронутых пользователей. На устройствах, где пользователь уже вошел в систему, повышение привилегий происходит, когда выполняются оба следующих условия:

  • Система Azure AD выпустила новый основной маркер обновления с соответствующими привилегиями (это может занять до 4 часов).
  • Пользователь вышел и снова вошел в систему (а не просто заблокировал и разблокировал ее), чтобы обновить свой профиль.
  • Пользователи не будут указаны в группе локальных администраторов, а разрешения будут получены посредством основного маркера обновления.

Указанные выше условия не относятся к пользователям, которые ранее не входили на соответствующее устройство. В этом случае права администратора применяются сразу же после первого входа на устройство.

Управление привилегиями администратора с помощью групп Azure AD (предварительная версия)

Начиная с обновления 2004 для Windows 10 вы можете использовать группы Azure AD для управления правами администратора на устройствах, присоединенных к Azure AD, с помощью политики MDM для групп с ограниченным доступом. Эта политика позволяет назначать отдельных пользователей или группы Azure AD в группу локальных администраторов устройства, присоединенного к Azure AD, благодаря чему вы можете детально назначать административные права разным пользователям для разных групп устройств.

Начиная с обновления Windows 10 20H2 рекомендуется использовать политику Локальные пользователи и группы, а не политику групп с ограниченным доступом.

В настоящее время в Intune нет пользовательского интерфейса для управления этими политиками, и их надо конфигурировать с помощью настраиваемых параметров OMA-URI. Вот несколько советов и рекомендаций по использованию этих политик.

Для добавления групп Azure AD с помощью политики требуется идентификатор безопасности (SID) группы, который можно получить через API Microsoft Graph для групп. SID определяется свойством securityIdentifier в ответе API.

Если применяется политика групп с ограниченным доступом, все текущие участники группы, не входящие в список участников, удаляются. Поэтому применение этой политики в отношении новых участников или групп ведет к удалению с устройства существующих администраторов, а именно пользователя, который присоединил устройство, роли администратора устройства и роль глобального администратора. Чтобы избежать удаления существующих участников, необходимо включить их в список участников в политике групп с ограниченным доступом. Это ограничение не действует при использовании политики локальных пользователей и групп, которая разрешает добавочные обновления списков участников групп.

Привилегии администратора, для которых используются обе политики, оцениваются на устройствах Windows 10 только для следующих хорошо известных групп: администраторы, пользователи, гости, опытные пользователи, пользователи удаленного рабочего стола и пользователи удаленного управления.

Хотя политика групп с ограниченным доступом существовала и до обновления 2004 для Windows 10, она не поддерживала группы Azure AD в качестве участников группы локальных администраторов устройства.

Группы Azure AD, развернутые на устройстве с одной из двух политик, не применяются к подключениям к удаленному рабочему столу. Чтобы управлять разрешениями удаленного рабочего стола для устройств, присоединенных к Azure AD, необходимо добавить SID отдельного пользователя в соответствующую группу.

Функция входа в Windows с помощью Azure AD поддерживает до 20 групп для оценки прав администратора. Рекомендуется использовать не более 20 групп Azure AD на каждом устройстве, чтобы обеспечить правильное назначение прав администратора. Это ограничение также применяется к вложенным группам.

Управление обычными пользователями

По умолчанию Azure AD добавляет пользователя, выполняющего присоединение к Azure AD, в группу администраторов на устройстве. Если вы не хотите, чтобы обычные пользователи получали права локальных администраторов, вам доступны следующие варианты:

    предоставляет возможность предотвратить получение обычным пользователем, выполняющим соединение, прав локального администратора. Это можно сделать путем создания профиля Autopilot. — присоединение к Azure AD, которое выполняется в контексте массовой регистрации, происходит в контексте автоматически созданного пользователя. Пользователи, вошедшие после присоединения устройства, не добавляются в группу администраторов.

Повышение прав пользователя на устройстве вручную

Помимо использования процесса присоединения к Azure AD можно также вручную повысить права обычного пользователя и предоставить ему права локального администратора на конкретном устройстве. Для выполнения этого шага необходимо быть участником группы локальных администраторов.

Начиная с выпуска Windows 10 версии 1709, эту задачу можно выполнить из раздела Параметры -> Учетные записи -> Другие пользователи. Выберите Добавить пользователя организации или учебного заведения, введите имя участника-пользователя в поле Учетная запись пользователя и выберите Администратор в разделе Тип учетной записи.

Кроме того, можно также добавить пользователей с помощью командной строки:

  • Если пользователи клиента синхронизированы из локальной службы Active Directory, используйте net localgroup administrators /add "Contoso\username" .
  • Если пользователи клиента созданы в Azure AD, используйте net localgroup administrators /add "AzureAD\UserUpn" .

Рекомендации

Роль администратора устройства нельзя назначить группам, только отдельным пользователям.

Администраторы устройств назначаются для всех устройств, присоединенных к Azure AD. Их нельзя ограничить определенным набором устройств.

В случае удаления пользователей из роли администратора устройства у них все еще есть привилегии локального администратора на этом устройстве до тех пор, пока они находятся в системе. Привилегия отменяется во время следующего входа после того, как будет выдан новый основной маркер обновления. Эта отмена, аналогично повышению привилегий, может занять до 4 часов.

date

27.11.2019

directory

Active Directory, Windows 10, Групповые политики

comments

комментариев 11

С помощью доменных групповых политик вы можете добавить необходимых пользователей AD (или группы) в локальную группу администраторов на серверах или рабочих станциях. Так можно предоставить права локального администратора на компьютерах домена сотрудникам техподдержки, службе HelpDesk, определенным пользователям и другим привилегированным аккаунтам. В этой статье мы покажем насколько способов управления членами локальной группы администраторов на компьютерах домена через GPO.

При добавлении компьютера в домен AD в группу Administrators автоматически добавляется группы Domain Admins, а группа Domain User добавляется в локальную Users.

консоль Local users and groups добавление прав локального администратора

В классических рекомендациях по безопасности Microsoft рекомендуется использовать следующие группы для разделения полномочиями администраторов в домене:

    Domain Admins – администраторы домена, используются только на контроллерах домена;

С точки зрения безопасности привилегированных аккаунтов администраторов не рекомендуется выполнять повседневные задачи администрирования рабочих станций и серверов под учетной записью с правами администратора домена. Такие учётные записи нужно использовать только для задач администрирования AD (добавление новых контроллеров домена, управление репликацией, модификация схемы и т.д.). Большинство задач управления пользователями, компьютерами и политиками в домене можно делегировать для обычных учетных записей администраторов. Не используйте аккаунты из группы Domain Admins для входа на любые рабочие станции и сервера хроме контроллеров домена. Также вы можете полностью отказаться от предоставления прав администратора для доменных пользователей и групп. В этом случае для выполнения административных задач на компьютерах использовать встроенного локального администратора с паролем, хранящимся в AD (реализуется с помощью LAPS).

Допустим, нам нужно предоставить группе сотрудников техподдержки и HelpDesk права локального админа на компьютерах в конкретном OU. Создайте в домене новую группу безопасности с помощью PowerShell и добавьте в нее учетные записи сотрудников техподдержки:

New-ADGroup "mskWKSAdmins" -path 'OU=Groups,OU=Moscow,DC=winitpro,DC=ru' -GroupScope Global –PassThru

Add-AdGroupMember -Identity mskWKSAdmins -Members user1, user2, user3

В групповых политиках AD есть два метода управления локальными группами на компьютерах домена. Рассмотрим их по-очереди:

  • Ограниченные группы (Restricted Groups)
  • Управление локальным группами через предпочтения групповых политик (Group Policy Preferences)

Добавление пользователей в локальную группу администраторов через Group Policy Preferences

Предпочтения групповых политик (Group Policy Preferences, GPP) предоставляют наиболее гибкий и удобный способ предоставления прав локальных администраторов на компьютерах домена через GPO.

Если вы хотите удалить из текущей локальной группы на компьютере пользователей и группы, добавленных вручную, отметьте опции “Delete all member users” и “Delete all member groups”. В большинстве случае это целесообразно, т.к. вы гарантируете, что на всех компьютерах права администратора будут только у назначенной доменной группы. Теперь если на компьютере вручную добавить пользователя в группу администраторов, при следующем применении политики он будет автоматически удален. Если политика не применилась на клиенте, для диагностики воспользуйтесь командой gpresult. Также убедитесь что компьютер находится в OU, на которое нацелена политика, а также проверьте рекомендации из статьи “Почему не применяются политики в домене AD?”

Вы можете настроить дополнительные (гранулярные) условия нацеливания данной политики на конкретные компьютеры с помощью WMI фильтров GPO или Item-level Targeting. Во втором случае перейдите на вкладку Common и отметьте опцию Item-level targeting. Нажмите на кнопку Targeting. Здесь вы можете указать условия, когда данная политика будет применяться. Например, я хочу, чтобы политика добавления группф администраторов применялась только к компьютерам с Windows 10, чьи NetBIOS/DNS имена не содержат adm . Вы можете использовать свои условия фильтрации.

Item-level targeting правила применения политики управления администраторами

Не рекомендуется добавлять в этой политики индивидуальные аккаунты пользователей, лучше использовать доменные группы безопасности. В этом случае, чтобы предоставить права администраторов очередному сотруднику тех. поддержки, вам достаточно добавить его в доменную группу (не придется редактировать GPO),

Управление локальными администраторами через Restricted Groups

Политика групп с ограниченным доступом (Restricted Groups) также позволяет добавить доменные группы/пользователей в локальные группы безопасности на компьютерах. Это более старый способ предоставления прав локального администратора и сейчас используется реже (способ менее гибкий, чем способ с Group Policy Preferences).

  1. Перейдите в режим редактирования политики;
  2. Разверните секцию Computer Configuration -> Policies -> Security Settings -> Restrictred Groups (Конфигурация компьютера -> Политики -> Параметры безопасности -> Ограниченные группы);
  3. В контекстном меню выберите Add Group;
  4. В открывшемся окне укажите Administrators -> Ok;
  5. В секции “Members of this group” нажмите Add и укажите группу, которую вы хотите добавить в локальные админы;
  6. Сохраните изменения, примените политику на компьютеры пользователей и проверьте локальную групп Administrators. В ней должна остаться только указанная в политике группа.
Данная политика всегда (!) удаляет всех имеющихся членов в группе локальных администраторов (добавленных вручную, другими политиками или скриптами). Если на компьютер действует несколько политик с настройками Restrictred Groups, применяется только последняя. Можно обойти это ограничение, добавив в Restrictred Groups сначала группу mskWKSAdmins, и потом эту группу включить в Administrators.

Предоставление прав администратора на конкретном компьютере

Иногда нужно предоставить определенному пользователю права администратора на конкретном компьютере. Например, у вас есть несколько разработчиков, которым периодически необходимы повышенные привилегии для тестирования драйверов, отладки, установки на своих компьютерах. Нецелесообразно добавлять их в группу администраторов рабочих станций на всех компьютерах.

Чтобы предоставить права лок. админа на одном конкретном компьютере можно использовать такую схему.

Прямо в созданной ранее политике AddLocalAdmins в секции предпочтений (Computer Configuration –> Preferences –> Control Panel Settings –> Local Users and Groups) создайте новую запись для группы Administrators со следующими настройками:

Также обратите внимание на порядок применения групп на компьютере – Order. Настройки локальных групп применяются сверху вниз (начиная с политики с Order 1).

Первая политика GPP (с настройками “Delete all member users” и “Delete all member groups” как описано выше), удаляет всех пользователей/группы из группы локальных администраторов и добавляет указанную доменную группу. Затем применится дополнительная политика для конкретного компьютера и добавит в администраторы указанного пользователя. Если нужно изменить порядок применения членства в группе Администраторы, воспользуйтесь кнопками вверху консоли редактора GPO.

Читайте также: