Remotamente remova o usuário do grupo de administradores e torne-o efetivo imediatamente

Navegue suas respostas
1

Estou tentando escrever um script simples de powershell que anuncie um usuário de domínio para o grupo de administradores local em máquinas com Windows e, depois de 30 minutos, as remova. Isso é o que eu tenho até agora. 

Param(
  [string]$machineName,
  [string]$group,
  [string]$user
)
$objUser = [ADSI]("WinNT://$user")
$objGroup = [ADSI]("WinNT://$machineName/$group")
$objGroup.PSBase.Invoke("Add",$objUser.PSBase.Path)
sleep 1800
$objGroup.PSBase.Invoke("Remove",$objUser.PSBase.Path)

Este script é chamado com três parâmetros e funciona muito bem. O usuário é inserido no grupo e, 30 minutos depois, ele é removido.

O último bit que preciso de ajuda é forçar o Windows a perceber que o usuário não é mais um administrador depois de 30 minutos ...

Atualmente, o usuário deve fazer logoff e voltar para perceber as permissões de administrador, com as quais estou bem, mas não quero que elas consigam manter os perms por 30 Minutes. Como posso forçar isso a acontecer? Mesmo depois de serem removidos do grupo, eles ainda podem realizar tarefas administrativas até efetuarem o logoff.

Obrigado antecipadamente.

    
por Dustin F 13.08.2014 / 02:44

2 respostas

2

Eu não acredito que o que você quer fazer seja tecnicamente possível sem um evento de logoff de algum tipo. Contanto que eles tenham uma sessão / processo ativo que foi originalmente criado enquanto um membro do grupo, o contexto dessa sessão / processo continuará a ser um membro do grupo até que seja encerrado. É a mesma razão pela qual eles precisam fazer logoff / logon para "ativar" a associação ao grupo para começar.

Agora, existem várias maneiras de forçar um logoff no tempo pré-determinado. Mas acho que é o mais próximo que você conseguirá sem modificar ou aumentar o subsistema de segurança do Windows (com um produto de terceiros, por exemplo).

    
por 13.08.2014 / 03:45
1

você pode forçar o usuário a fazer logoff aos 30 min. marca. use Win32Shutdown com o sinalizador 4 para o logoff de força.

Essa é a única maneira de forçar o usuário a não ter permissão após o tempo necessário.

Além disso, se você pudesse mostrar um cronômetro para o usuário dizendo a ele quanto tempo ainda resta, seria útil para eles, para que pudessem salvar o que quer que estivessem fazendo e não estragar nada.

    
por 13.08.2014 / 17:45

Tags

AWS conectando entre instâncias na zona de disponibilidade Tipo de RR desconhecido no nome - registro de troca de SRV