ansible.windows.win_user_right 模块 – 管理 Windows 用户权限

注意

此模块是 ansible.windows 集合(版本 2.5.0)的一部分。

如果您使用的是 ansible 包,您可能已经安装了这个集合。 它不包含在 ansible-core 中。 要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install ansible.windows

要在 playbook 中使用它,请指定:ansible.windows.win_user_right

概要

  • 为组或用户添加、删除或设置用户权限。

  • 您可以为本地和域帐户设置用户权限。

参数

参数

注释

action

字符串

add 会将用户/组添加到现有权限。

remove 会从现有权限中删除用户/组。

set 会替换现有权限的用户/组。

选择

  • "add"

  • "remove"

  • "set" ← (默认)

name

字符串 / 必需

用户权限的名称,如 https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/user-rights-assignment 中的 常量名称 值所示。

如果权限无效,该模块将返回错误。

users

列表 / 元素=字符串 / 必需

要在用户权限上添加/删除的用户或组的列表。

对于域用户/组,这些可以是 DOMAIN\user-group、user-group@DOMAIN.COM 的形式。

对于本地用户/组,可以是 user-group、.\user-group、SERVERNAME\user-group 的形式,其中 SERVERNAME 是远程服务器的名称。

强烈建议使用 .\SERVERNAME\ 前缀,以避免与域帐户名称有任何歧义,或在域控制器上查找帐户时出错。

您还可以添加特殊的本地帐户,如 SYSTEM 和其他帐户。

可以将 action=set 设置为空列表,以从权限中删除所有帐户。

注意

注意

  • 如果服务器已加入域,则此模块可以更改权限,但如果 GPO 管理此权限,则更改不会持久。

另请参阅

另请参阅

ansible.windows.win_group

添加和删除本地组。

ansible.windows.win_group_membership

管理 Windows 本地组成员资格。

ansible.windows.win_user

管理本地 Windows 用户帐户。

示例

---
- name: Replace the entries of Deny log on locally
  ansible.windows.win_user_right:
    name: SeDenyInteractiveLogonRight
    users:
      - Guest
      - Users
    action: set

- name: Add account to Log on as a service
  ansible.windows.win_user_right:
    name: SeServiceLogonRight
    users:
      - .\Administrator
      - '{{ansible_hostname}}\local-user'
    action: add

- name: Remove accounts who can create Symbolic links
  ansible.windows.win_user_right:
    name: SeCreateSymbolicLinkPrivilege
    users:
      - SYSTEM
      - Administrators
      - DOMAIN\User
      - [email protected]
    action: remove

- name: Remove all accounts who cannot log on remote interactively
  ansible.windows.win_user_right:
    name: SeDenyRemoteInteractiveLogonRight
    users: []

返回值

常见的返回值记录在此处,以下是此模块独有的字段

描述

added

列表 / 元素=字符串

已添加到权限的帐户列表,如果未添加任何帐户,则为空。

返回: 成功

示例: ["NT AUTHORITY\\SYSTEM", "DOMAIN\\User"]

removed

列表 / 元素=字符串

已从权限中删除的帐户列表,如果未删除任何帐户,则为空。

返回: 成功

示例: ["SERVERNAME\\Administrator", "BUILTIN\\Administrators"]

作者

  • Jordan Borean (@jborean93)