- Вопрос или проблема
- Ответ или решение
- Добавление Azure группы в локальную группу администраторов на устройствах Windows
- Проблема: Невозможность добавления Azure группы в локальные администраторы
- Решение: Использование Microsoft Intune
- Шаги для добавления Azure группы в локальную группу администраторов:
- Заключение
Вопрос или проблема
Я стремлюсь добавить группу Azure “Local_Admins” SID:b42afbaf-7e4d-4d1b-b2c1-39630ccec6b2 в локальную группу администраторов на устройствах.
Я знаю, что есть решение для добавления пользователей в локальную группу администраторов, и оно работает хорошо, но постоянно добавлять и удалять пользователей из этой группы крайне нежелательно, поэтому я хотел бы иметь возможность добавлять пользователей в группу Azure, чтобы достичь того же эффекта.
Я попытался сделать следующее:
net localgroup administrators "AzureAD\LocalAdmins" /add
Результат: Нет такого глобального пользователя или группы AzureAD\LocalAdmins
net localgroup administrators "AzureAD\Local_Admins" /add
Результат: Нет такого глобального пользователя или группы AzureAD\Local_Admins
net localgroup administrators "AzureAD\b42afbaf-7e4d-4d1b-b2c1-39630ccec6b2" /add
Результат: Ошибка синтаксиса
net localgroup administrators "b42afbaf-7e4d-4d1b-b2c1-39630ccec6b2" /add
Результат: Ошибка синтаксиса
Если у кого-то есть хорошее решение этой проблемы, я бы с радостью его выслушал.
Вам, возможно, придется использовать Microsoft Intune (Microsoft Endpoint Manager)
Смотрите здесь: https://www.inthecloud247.com/add-an-azure-ad-group-to-the-local-administrators-group-with-microsoft-intune/
В этом посте я уже показал, как можно управлять локальной группой администраторов на машине с Windows 10 с помощью Microsoft Intune (Microsoft Endpoint Manager), но я показал только, как добавлять учетные записи Azure AD в группу администраторов.
Но, как описано в документации Microsoft, также поддерживаются группы Azure AD;
SID члена может быть учетной записью пользователя или группой в AD, Azure AD или на локальной машине.
Ответ или решение
Добавление Azure группы в локальную группу администраторов на устройствах Windows
В вашей задаче вы намерены добавить Azure группу с идентификатором "Local_Admins" SID:b42afbaf-7e4d-4d1b-b2c1-39630ccec6b2 в локальную группу администраторов на устройствах Windows. Действительно, это может быть не совсем тривиальной задачей, особенно если используемые команды не работают должным образом. Рассмотрим верные способы решения данной проблемы.
Проблема: Невозможность добавления Azure группы в локальные администраторы
Вы пытались использовать команду net localgroup
для добавления Azure группы, но все попытки завершились ошибками. Причины ошибок связаны с тем, что локальная группа администраторов на обычных Windows системах ожидает, что добавляемые участники будут определены в локальной системе или в доменном контроллере. Ознакомимся с правильными методами решения этой задачи.
Решение: Использование Microsoft Intune
Microsoft Intune (также известный как Microsoft Endpoint Manager) является наиболее подходящим инструментом для управления учетными записями и политиками на устройствах. С его помощью можно настраивать доступ к локальным группам, включая локальную группу администраторов.
Шаги для добавления Azure группы в локальную группу администраторов:
-
Зарегистрируйте устройство в Microsoft Intune: Убедитесь, что ваши устройства зарегистрированы в Intune. Это можно сделать через Azure AD.
-
Создайте политику назначения групп:
- Перейдите в Microsoft Endpoint Manager и выберите Devices.
- В меню устройств выберите Configuration profiles и создайте новый профиль.
-
Настройте политику:
- При создании профиля выберите Windows 10 and later как платформу.
- Используйте настройки Local User Group или Administrative Templates в зависимости от вашей конфигурации.
- В секции для добавления пользователей в группу выберите необходимую Azure группу.
-
Развертывание политики:
- Назначьте созданную политику группе пользователей или устройств, которые вы хотите управлять.
-
Проверьте статус:
- После развертывания политики проверьте, что члены вашей Azure группы присутствуют в локальной группе администраторов на целевых устройствах.
Заключение
Использование Microsoft Intune для управления локальной группой администраторов является наилучшей практикой, так как это позволяет централизованно управлять пользователями и их правами доступа без необходимости постоянных ручных манипуляций. Intune надежно интегрируется с Azure AD, позволяя вам эффективно масштабировать управление правами доступа на уровне организации.
Если эта информация была полезной, не стесняйтесь задавать дополнительные вопросы или делиться опытом.