Не передаются права локального админа через powershell, что делать?

Question

[BillyPluto]

Добрый день!
Столкнулся с проблемой то ли в скрипте, то ли в группе Active Directory, пытался писать в ChatGPT но либо я ему не правильно объясняю, либо он меня не понимает так как пишет что проблема в группе, хотя я после пробовал на "Builtin" группах, и к сожалению все также никаких прав не получал юзер.
Сама проблема в том что: Пользователь появляется в членах группы, но не получает права на установку приложении, или же другие права которые у него должны быть.При добавлении в группу к примеру "Domain Admins" он также не получает права.
Сам скрипт:
$ttl = New-TimeSpan -Minutes 15
Add-ADGroupMember -Identity "Installation_Group" -Members m.yussubaliyeva -MemberTimeToLive $ttl

Будут рад любым советам или решениям!

Answer 1

[hint000]

Пользователь появляется в членах группы, но не получает права на ...

Чтобы права появились, пользователю нужно перелогиниться - выйти из системы и снова зайти под своим именем. Это не зависит от Active Directory, это не зависит от Powershell. Тот же принцип работает, даже если пользователь локальный и вы добавите его в групу вручную без скриптов - перелогиниваться всё равно нужно, что права группы подействовали.

Comments

[BillyPluto]

Извините забыл дополнить, что уже пробовал перелогин но все осталось также.

[hint000]

BillyPluto, тогда, вероятно, проблема в конкретных правах, назначенных группе. Можете легко проверить, добавив группе права на какую-нибудь папку, к которой нет доступа у пользователя; думаю, что такой тест пройдёт успешно.

[BillyPluto]

На удивление данный метод перепробовал после вашего сообщения, и он сработал!)
Спасибо вам!

[hint000]

BillyPluto, возможно, предыдущий раз вы перелогинивались раньше, чем что-то реплицировалось на AD, если есть больше одного AD DC.

[BillyPluto]

hint000, Да второй запасной AD имеется и скорее всего поэтому)
Еще раз благодарен вам!

Answer 2

[Alexey Dmitriev]

Раз у вас есть AD, вы можете добавить специально созданные AD группы в группу локальных администраторов на нужных вам компьютерах через GPO.
По умолчанию администраторами всех машин является группа Administrators в AD, в которую опять таки по умолчанию входят Domain и Enterprise Admins.
Также не стоит забывать, что изменение членства в AD группах применяется не после добавления чего-то в группу, а только после обновления соответствующего TGT тикета (релогин, klist purge или после обновления по таймеру).

И последнее - установка ПО требует elevated сессии (запущенной из под администратора)

Comments

[BillyPluto]

Мне нужно чтобы они становились админами на минут 10-15, для установки для них приложении которые им нужны, возможно через GPO поставить такой таймер?

[Alexey Dmitriev]

BillyPluto, попробуйте добавить в группу, дождаться репликации, сделать klist purge, gpupdate /force и в конце скрипта обратную операцию. Или можете использовать стороннее ПО типа AdminByRequest