- Вопрос или проблема
- Ответ или решение
- Как добавить пользователя Azure Active Directory в локальную группу администраторов
- 1. Вход пользователя в систему
- 2. Выйти из системы
- 3. Открытие командной строки с правами администратора
- 4. Добавление пользователя в группу администраторов
- 5. Вход обратно с новым пользователем
- Дополнительные методы
- Важные замечания
- Заключение
Вопрос или проблема
В Windows 10 вы можете присоединиться к организации (=Azure Active Directory) и войти с помощью своих облачных учетных данных.
Согласно предоставленной информации здесь, первая учетная запись на компьютере, которая присоединяется к организации, является локальным администратором. Учетные записи, которые присоединяются после этого, таковыми не являются.
Как сделать их локальными администраторами?
Стандартный диалог добавления группы не позволяет мне выбирать пользователей из AzureAD, искать пользователей из AzureAD. Я просто вижу, что моя первая учетная запись находится в списке (указана как AzureAD\ИмяУчетнойЗаписи).
Интересно также:
Когда я вхожу со второй учетной записью и мне предлагается ввести локального администратора (для применения настроек компьютера – я предполагаю, UAC), первая учетная запись не принимается, хотя она является локальным администратором.
Вы можете сделать это через командную строку! У меня была такая же проблема, и после поиска и получения только “вы не можете” отовсюду, я (для развлечения) попробовал это через командную строку, и ЭТО СРАБОТАЛО!!
-
Войдите на ПК как пользователь Azure AD, которому вы хотите предоставить права локального администратора. Это загрузит GUID на ПК.
-
Выйдите как этот пользователь и войдите как пользователь с правами локального администратора.
-
Откройте командную строку от имени администратора и с помощью командной строки добавьте пользователя в группу администраторов. Например, если у меня есть пользователь по имени Джон Доу, команда будет
net localgroup administrators AzureAD\JohnDoe /add. (Примечание: это их отображаемое имя, например, их имя пользователя может быть [email protected] — проверьте название папки пользователя в C:\Users и используйте то же имя, добавивAzureAD\)
Снова войдите как этот пользователь, и теперь он будет локальным администратором.
Я нашел этот документ Microsoft, связанный с этим вопросом:
“Подключение к удаленному ПК, присоединенному к Azure Active Directory”.
Вы можете указать отдельные учетные записи Azure AD для удаленных подключений, посоветовав пользователю войти на удаленном устройстве хотя бы один раз, а затем запустить следующую команду PowerShell:
net localgroup "Пользователи удаленного рабочего стола" /add "AzureAD\UPN-атрибут-вашего-пользователя"
где FirstnameLastname – это имя профиля пользователя в C:\Users, которое создается на основе атрибута DisplayName в Azure AD.
Эта команда работает только для пользователей устройств AADJ, уже добавленных в любую из локальных групп (администраторов). В противном случае эта команда вызывает следующую ошибку. Например:
- Для облачного пользователя: “Нет такого глобального пользователя или группы: имя”
- Для синхронизированного пользователя: “Нет такого глобального пользователя или группы: имя”
В Windows 10, версии 1709, пользователю не нужно сначала входить на удаленное устройство.
В Windows 10, версии 1709, вы можете добавлять других пользователей Azure AD в группу Администраторов на устройстве в Настройках и ограничивать удаленные учетные данные для Администраторов. Если возникли проблемы с удаленным подключением, убедитесь, что оба устройства подключены к Azure AD и что TPM работает должным образом на обоих устройствах.
Пожалуйста, имейте в виду это предложение:
В Windows 10, версии 1709, пользователю не нужно сначала входить на удаленное устройство.
Я только что попал сюда с похожей проблемой – как добавить моего пользователя Azure в локальную группу “Администраторы Hyper-V”.
Помимо лучшего ответа (спасибо!), оказывается, вы также можете использовать следующую команду PowerShell:
PS> ([adsi]"WinNT://./Hyper-V Administrators,group").Add("WinNT://$env:UserDomain/$env:Username,user")
которую я нашел на https://docs.okd.io/latest/minishift/troubleshooting/troubleshooting-driver-plugins.html#troubleshooting-driver-hyperv
Попробуйте эту команду PowerShell с учетной записью локального администратора, которую вы уже имеете.
Add-LocalGroupMember -Group administrators -Member AzureAD\*UPN*
Согласно моему опыту, также нет возможности добавить одну учетную запись AAD в группу локальных администраторов.
Вы можете добавить дополнительных администраторов для ВСЕХ устройств, которые присоединились к Azure AD. Вы можете сделать это через консоль Azure на https://manage.windowsazure.com, для чего вам нужна лицензия AAD). Вы можете найти эту опцию, щелкнув на имя вашего арендатора и перейдя на вкладку “настройка”. Найдите раздел “устройства”.
Это означает, что двое пользователей AAD не могут быть локальными администраторами на одном устройстве одновременно, если один из пользователей не является глобальным администратором для всех устройств…
В случае, если необходимо изменить владельца Windows-машины, и это также требует прав локального администратора на конкретной машине, вам нужно будет выйти из AAD и повторно войти с помощью новой учетной записи владельца.
Я попробовал это, и к моему удивлению встроенный локальный администратор не имел разрешений для присоединения к Azure AD. Нажатие на кнопку не дало никакого ответа. Только после добавления другой учетной записи локального администратора и входа локально с этим пользователем я смог начать процесс присоединения. На экране входа я указал пользователя Azure AD/0365. Эта учетная запись правильно стала локальным администратором.
Смотрите также блог ниже:
PS C:\WINDOWS\system32> Get-ComputerInfo | Select-Object -ExpandProperty WindowsVersion
2004
PS C:\WINDOWS\system32> net localgroup administrators /add "AzureAD\[email protected]"
Начиная с выпуска Windows 10 версии 1709, вы можете выполнить эту задачу
из Настройки -> Учетные записи -> Другие пользователи. Выберите “Добавить рабочего или школьного пользователя”, введите UPN пользователя в поле “Учетная запись пользователя” и выберите
“Администратор” в разделе “Тип учетной записи”
Кроме того, вы также можете добавлять пользователей с помощью командной строки: Если ваши пользователи арендатора созданы в Azure AD, используйте
net localgroup administrators /add "AzureAD\UserUpn“
Для самой обновленной версии, пожалуйста, посетите: https://learn.microsoft.com/en-us/azure/active-directory/devices/assign-local-admin#manually-elevate-a-user-on-a-device
Ответ или решение
Как добавить пользователя Azure Active Directory в локальную группу администраторов
В последние годы подписка на услуги Microsoft Azure и поддержка Azure Active Directory (AAD) привела к значительным изменениям в управлении пользователями и группами в Windows 10. С недавними обновлениями операционной системы, пользователи, подключенные к Azure AD, могут сталкиваться с определенными ограничениями, когда дело доходит до прав доступа. Чтобы добавить пользователя Azure AD в группу локальных администраторов, следуйте этим шагам.
1. Вход пользователя в систему
Первым шагом необходимо войти в систему с учетной записью Azure AD, которую вы хотите сделать локальным администратором. Это позволит Windows идентифицировать пользователя и зарегистрировать его на устройстве. Войдите в систему, используя свои учетные данные Azure AD.
2. Выйти из системы
После успешного входа в систему с учетной записью Azure AD выполните выход и войдите в систему с учетной записью локального администратора. Это позволит вам создать необходимые права для изменения группы администраторов.
3. Открытие командной строки с правами администратора
Перейдите в меню «Пуск», введите "cmd" или "Командная строка", щелкните правой кнопкой мыши по найденному значению и выберите «Запуск от имени администратора». Это важно, так как вам нужно будет выполнять команды с повышенными правами.
4. Добавление пользователя в группу администраторов
Используйте следующую команду для добавления пользователя Azure AD в группу локальных администраторов:
net localgroup administrators AzureAD\<имя_пользователя> /addЗамените <имя_пользователя> на уникальное имя пользователя Azure AD (обычно это часть его UPN). Пример команды для пользователя по имени John Doe:
net localgroup administrators AzureAD\JohnDoe /add5. Вход обратно с новым пользователем
После выполнения предыдущих шагов выйдите из системы и войдите снова с учетной записью пользователя Azure AD, который только что был добавлен в группу локальных администраторов. Теперь этот пользователь имеет все права локального администратора на устройстве.
Дополнительные методы
Метод PowerShell: Если вам нужно добавить нескольких пользователей, вы можете использовать PowerShell для автоматизации этого процесса. Используйте следующую команду:
Add-LocalGroupMember -Group "Administrators" -Member "AzureAD\<имя_пользователя>"Для добавления всех пользователей из Azure AD можно использовать wildcards:
Add-LocalGroupMember -Group "Administrators" -Member "AzureAD\*"Также можно учесть инструкции Microsoft, которые предлагают управление пользователями через настройки Windows 10, доступное с версии 1709. Для доступа к этой настройке перейдите в «Параметры» > «Учетные записи» > «Другие пользователи» и добавьте пользователя, указав его UPN и выбрав тип учетной записи «Администратор».
Важные замечания
- Убедитесь, что устройство уже подключено к Azure AD.
- Для выполнения этих действий вам понадобятся права локального администратора.
- Обратите внимание, что наличие обновлений Windows 10 может влиять на доступные параметры и команды.
Заключение
Понимание управления пользователями и групповыми правами в Azure Active Directory — важная часть администрирования современных IT-систем. Следуя вышеописанным шагам, вы сможете эффективно управлять доступом пользователей Azure AD к локальным ресурсам. Если у вас возникли дополнительные вопросы или требуется углубленная поддержка, рекомендуется обратиться к документации Microsoft или в службу поддержки.