Dans cet article nous allons voir comment ajouter sur chaque appareil, le primary user de celui-ci dans le groupe administrateur local du poste.
Nous verrons également comment supprimer, au préalable, tous les membres de ce groupe sauf le compte administrateur.
Contexte
Vou souhaitez:
- Ajouter les primary users comme admin de leur machines
- cela soit fait de manière automatisée et transparente
- Supprimer tous les autres membres de ce groupe sauf l’utilisateur Administrateur et le primary user
Prérequis
Dans notre exemple nous allons utiliser l’API Graph via une application enregistrée dans Azure.
Nous verrons dans l’article suivant comment créer cette application pour faciliter l’authentification vers Graph.
Obtenir le script
Vous pouvez télécharger le script en cliquant sur l’image GitHub ci-dessous:
Comment cela fonctionne ?
Le script est nommé, Add_PrimaryUser_asAdmin_without_Remove.ps1
Le script fonctionne de la manière suivante:
- Installer le module Microsoft.Graph.Intune
- Se connecter à Graph via l’application Azure
- Récupérer les informations de la machine courante
- Récupérer l’ID de la machine
- Construire la requête permettant d’obtenir le primary user
- Récupérer le primary user du poste
- Convertir l’object ID du user en SID
- Récupérer les informations du groupe admin local
- Ajouter ce SID dans le groupe Administrateurs
Il ne vous restera ensuite plus qu’a déployer ce script via Intune.
Pour cela, plusieurs solutions s’offrent à vou:
- Simple script PowerShell
- Application Win32
- Proactive Redmediation (nous verrons cet exemple dans un prochain article)
Allez plus loin ?
Le script est nommé, Add_PrimaryUser_asAdmin_with_Remove.ps1
Maintenant nous allons ajouter notre 3ème de point de la partie contexte.
Nous souhaitons au préalable supprimer tous les membres du groupe Administrateurs local sauf l’utilisateur Administrateur.
Nous utiliserons les mêmes étapes que précédemment jusqu’à l’étape 8.
Nous allons ensuite procéder come ci-dessous:
- Récupérer le nom du compte Admin local par défaut; Administrateur
- Récupérer les infos du groupe admin local
- Récupérer les membres existants de ce groupe
- Supprimer tous les membres sauf le compte Administrateur
- Ajouter le SID du primary user dans le groupe Administrateurs
ID, Object ID, SID ?
Lorsque vous cliquez sur un utilisateur, depuis le portail Microsoft Endpoint Manager, le champ Object ID permet de donner l’ID de l’utilisateur en question.
Lorsque vous récupérez les informations du primary user de la machine via Graph, cet Object ID apparaît dans un champ ID.
Cet ID est un ID Intune et ne peut donc pas $etre ajouté tel quel dans le groupe admin local.
Pour cela, il faut convertir cet ID en SID Windows. Le SID est un identifiant Windows propre à un groupe ou utilisateur.
Nous utiliserons donc la commande Convert-ObjectIdToSid, mentionnée dans la partie précédente.
