Ajouter le primary user d’un device dans le groupe Administrateurs local avec PowerShell et sans CSP

Dans cet article nous allons voir comment ajouter sur chaque appareil, le primary user de celui-ci dans le groupe administrateur local du poste.
Nous verrons également comment supprimer, au préalable, tous les membres de ce groupe sauf le compte administrateur.

Contexte

Vou souhaitez:

  • Ajouter les primary users comme admin de leur machines
  • cela soit fait de manière automatisée et transparente
  • Supprimer tous les autres membres de ce groupe sauf l’utilisateur Administrateur et le primary user

Prérequis

Dans notre exemple nous allons utiliser l’API Graph via une application enregistrée dans Azure.
Nous verrons dans l’article suivant comment créer cette application pour faciliter l’authentification vers Graph.

Obtenir le script

Vous pouvez télécharger le script en cliquant sur l’image GitHub ci-dessous:

Comment cela fonctionne ?

Le script est nommé, Add_PrimaryUser_asAdmin_without_Remove.ps1
Le script fonctionne de la manière suivante:

  1. Installer le module Microsoft.Graph.Intune
  2. Se connecter à Graph via l’application Azure
  3. Récupérer les informations de la machine courante
  4. Récupérer l’ID de la machine
  5. Construire la requête permettant d’obtenir le primary user
  6. Récupérer le primary user du poste
  7. Convertir l’object ID du user en SID
  8. Récupérer les informations du groupe admin local
  9. Ajouter ce SID dans le groupe Administrateurs

Il ne vous restera ensuite plus qu’a déployer ce script via Intune.
Pour cela, plusieurs solutions s’offrent à vou:

  • Simple script PowerShell
  • Application Win32
  • Proactive Redmediation (nous verrons cet exemple dans un prochain article)

Allez plus loin ?

Le script est nommé, Add_PrimaryUser_asAdmin_with_Remove.ps1
Maintenant nous allons ajouter notre 3ème de point de la partie contexte.
Nous souhaitons au préalable supprimer tous les membres du groupe Administrateurs local sauf l’utilisateur Administrateur.
Nous utiliserons les mêmes étapes que précédemment jusqu’à l’étape 8.
Nous allons ensuite procéder come ci-dessous:

  1. Récupérer le nom du compte Admin local par défaut; Administrateur
  2. Récupérer les infos du groupe admin local
  3. Récupérer les membres existants de ce groupe
  4. Supprimer tous les membres sauf le compte Administrateur
  5. Ajouter le SID du primary user dans le groupe Administrateurs

ID, Object ID, SID ?

Lorsque vous cliquez sur un utilisateur, depuis le portail Microsoft Endpoint Manager, le champ Object ID permet de donner l’ID de l’utilisateur en question.
Lorsque vous récupérez les informations du primary user de la machine via Graph, cet Object ID apparaît dans un champ ID.
Cet ID est un ID Intune et ne peut donc pas $etre ajouté tel quel dans le groupe admin local.
Pour cela, il faut convertir cet ID en SID Windows. Le SID est un identifiant Windows propre à un groupe ou utilisateur.
Nous utiliserons donc la commande Convert-ObjectIdToSid, mentionnée dans la partie précédente.

A propos de l'auteur

Damien VAN ROBAEYS

Ingénieur Systèmes travaillant principalement sur ce qui tourne autour du poste de travail (MDT, SCCM, Intune) et l’automatisation avec PowerShell. MVP Microsoft et auteur pour ENI, il publie régulièrement sur son blog et gère différents groupes Facebook, PowerShell et WPF (~4000 membres), Windows Autopilot (~3000 membres).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *