问题是,如果为SCCMpipe理员创build了AD组,是否需要将该AD组添加到所有SCCM客户端的本地pipe理员组中?
我只是假设任何SCCMpipe理员自然具有本地pipe理员权限,至less是组织域内的所有工作站以及一些(如果不是全部的话)服务器。
我见过的唯一帐户需要客户端的本地pipe理员权限是SCCM客户端安装帐户,但是我没有看到有关实际SCCMpipe理员的本地pipe理员权限的任何信息。
例如,作为SCCMpipe理员组成员的用户login到站点服务器,并尝试使用“右键单击工具”运行SCCM客户端卸载过程,则会收到错误消息,指出“拒绝访问”。 然后,他们发现SCCMpipe理员AD组不是本地pipe理员组的成员,因此他们在该工作站上没有本地pipe理员权限。
真实故事在这里:
一位IT经理认为这是可以的,不允许SCCMpipe理员本地pipe理员权限,他认为,当SCCMpipe理员login到站点服务器和pipe理控制台(RDP到SCCM 2012站点服务器)时,他们执行的任何操作都是使用站点服务器的系统帐户。
说实话,我以前从来没有处理过这个问题,因为我见过的每个环境都有SCCMpipe理员,也是所有客户端的本地pipe理员。
我感谢社区可以提供的任何帮助。
非常感谢大家。
如果SCCMpipe理员用户或组是域pipe理员或域pipe理员组的成员,则由于域组成员身份,他们将成为本地pipe理员组的成员。 如果他们不是那么他们不会。