Группа Azure добавлена в группу Администраторов локального компьютера

Вопрос или проблема

Я стремлюсь добавить группу Azure “Local_Admins” SID:b42afbaf-7e4d-4d1b-b2c1-39630ccec6b2 в локальную группу администраторов на устройствах.

Я знаю, что есть решение для добавления пользователей в локальную группу администраторов, и оно работает хорошо, но постоянно добавлять и удалять пользователей из этой группы крайне нежелательно, поэтому я хотел бы иметь возможность добавлять пользователей в группу Azure, чтобы достичь того же эффекта.

Я попытался сделать следующее:

net localgroup administrators "AzureAD\LocalAdmins" /add

Результат: Нет такого глобального пользователя или группы AzureAD\LocalAdmins

net localgroup administrators "AzureAD\Local_Admins" /add

Результат: Нет такого глобального пользователя или группы AzureAD\Local_Admins

net localgroup administrators "AzureAD\b42afbaf-7e4d-4d1b-b2c1-39630ccec6b2" /add

Результат: Ошибка синтаксиса

net localgroup administrators "b42afbaf-7e4d-4d1b-b2c1-39630ccec6b2" /add

Результат: Ошибка синтаксиса

Если у кого-то есть хорошее решение этой проблемы, я бы с радостью его выслушал.

Вам, возможно, придется использовать Microsoft Intune (Microsoft Endpoint Manager)

Смотрите здесь: https://www.inthecloud247.com/add-an-azure-ad-group-to-the-local-administrators-group-with-microsoft-intune/

В этом посте я уже показал, как можно управлять локальной группой администраторов на машине с Windows 10 с помощью Microsoft Intune (Microsoft Endpoint Manager), но я показал только, как добавлять учетные записи Azure AD в группу администраторов.

Но, как описано в документации Microsoft, также поддерживаются группы Azure AD;

SID члена может быть учетной записью пользователя или группой в AD, Azure AD или на локальной машине.

Ответ или решение

Добавление Azure группы в локальную группу администраторов на устройствах Windows

В вашей задаче вы намерены добавить Azure группу с идентификатором "Local_Admins" SID:b42afbaf-7e4d-4d1b-b2c1-39630ccec6b2 в локальную группу администраторов на устройствах Windows. Действительно, это может быть не совсем тривиальной задачей, особенно если используемые команды не работают должным образом. Рассмотрим верные способы решения данной проблемы.

Проблема: Невозможность добавления Azure группы в локальные администраторы

Вы пытались использовать команду net localgroup для добавления Azure группы, но все попытки завершились ошибками. Причины ошибок связаны с тем, что локальная группа администраторов на обычных Windows системах ожидает, что добавляемые участники будут определены в локальной системе или в доменном контроллере. Ознакомимся с правильными методами решения этой задачи.

Решение: Использование Microsoft Intune

Microsoft Intune (также известный как Microsoft Endpoint Manager) является наиболее подходящим инструментом для управления учетными записями и политиками на устройствах. С его помощью можно настраивать доступ к локальным группам, включая локальную группу администраторов.

Шаги для добавления Azure группы в локальную группу администраторов:

  1. Зарегистрируйте устройство в Microsoft Intune: Убедитесь, что ваши устройства зарегистрированы в Intune. Это можно сделать через Azure AD.

  2. Создайте политику назначения групп:

    • Перейдите в Microsoft Endpoint Manager и выберите Devices.
    • В меню устройств выберите Configuration profiles и создайте новый профиль.
  3. Настройте политику:

    • При создании профиля выберите Windows 10 and later как платформу.
    • Используйте настройки Local User Group или Administrative Templates в зависимости от вашей конфигурации.
    • В секции для добавления пользователей в группу выберите необходимую Azure группу.
  4. Развертывание политики:

    • Назначьте созданную политику группе пользователей или устройств, которые вы хотите управлять.
  5. Проверьте статус:

    • После развертывания политики проверьте, что члены вашей Azure группы присутствуют в локальной группе администраторов на целевых устройствах.

Заключение

Использование Microsoft Intune для управления локальной группой администраторов является наилучшей практикой, так как это позволяет централизованно управлять пользователями и их правами доступа без необходимости постоянных ручных манипуляций. Intune надежно интегрируется с Azure AD, позволяя вам эффективно масштабировать управление правами доступа на уровне организации.

Если эта информация была полезной, не стесняйтесь задавать дополнительные вопросы или делиться опытом.

Оцените материал
Добавить комментарий

Капча загружается...