Caldera 10 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 Hallöchen :) wir haben bei uns in der Firma eine vielzahl an Computern und wollen rausfinden, auf welchen Computern ein Domainuser in der Admin- bzw. Hauptbenutzergruppe steht. Kann man das irgendwie auslesen? Aus der Registry? Über eure Hilfe würde ich mich sehr freuen :rolleyes: Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 Das steht in der SAM der jeweiligen Computer. Du musst also aus der Ferne per Copmputerverwaltung oder 'zu Fuß' die Rechner abklappern, die Dich interessieren. Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 wir machen sowas per loginscript und der ifmember.exe: Download details: Windows Server 2003 Resource Kit Tools Zitieren Link zu diesem Kommentar
Caldera 10 Geschrieben 23. April 2008 Autor Melden Teilen Geschrieben 23. April 2008 Wie sähe die Abfrage aus? :confused: Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 zum bleistift: ifmember.exe %COMPUTERNAME%\Administratoren if %errorlevel%==0 goto noadmin :admin rem hat admin rechte call blablabla.cmd goto eof :noadmin rem hat keine admin rechte call irgendwas.cmd Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 Mit dem Logon-Script hat man aber nur einen Rechner und einen User gecheckt. Wenn die User nicht wild am wandern (roamen :D) sind, wird es ein Weichen dauern, um einen kompletten Überblick zu bekommen ... Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 ? das kapier ich jetzt nicht. mit dem logonscript erwisch ich jeden user, der sich in meiner domäne anmeldet. oder was meinst du? sorry, nobex...steh grad ein wenig am schlauch :D Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 Hi, wie wäre es mit einer WMI-Abfrage? Die Rechner lassen sich vorher aus der AD auslesen o.ä. und dann an die Abfrage übergeben. Ein Ansatz dafür wäre folgende Abfrage (PowerShell, geht aber auch mit normlem WMIC oder VBScript etc.): Get-WmiObject -query "Select * from Win32_UserAccount" -namespace root\cimv2 -computername <COMPUTER> Gruß olc Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 ein anderer zentraler Weg ginge so: FOR /F usebackq %%a IN (`dsquery computer "ou=xpclients,dc=domain,dc=de" -o rdn`) DO (%%a >>admingroups.log psexec \\%%a net localgroup administratoren>>admingroups.log ) dazu muss allerdings das psexec von Windows Sysinternals: Documentation, downloads and additional resources verfügbar auf dem AbfrageClient sein und klar, die PCs müssen eingeschaltet sein. cu blub Zitieren Link zu diesem Kommentar
twenty 12 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 Ein Anmeldescript: net localgroup administratoren >\\server\freigabe\ausgabe.txt Zitieren Link zu diesem Kommentar
Millenium 10 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 Ein Anmeldescript: net localgroup administratoren >\\server\freigabe\ausgabe.txt Hört sich zwar super an und es gefällt mir auch :), leider wird aber die Datei "ausgabe.txt" nicht erweitert sondern überschrieben. Somit kann man nur eine einzige Abfrage auswerten. Gruß Herra Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 ein anderer zentraler Weg ginge so: FOR /F usebackq %%a IN (`dsquery computer "ou=xpclients,dc=domain,dc=de" -o rdn`) DO (%%a >>admingroups.log psexec \\%%a net localgroup administratoren>>admingroups.log ) dazu muss allerdings das psexec von Windows Sysinternals: Documentation, downloads and additional resources verfügbar auf dem AbfrageClient sein und klar, die PCs müssen eingeschaltet sein. Ok, dann ginge es auch einfacher (ohne PowerShell oder psexec), nämlich mittels WMIC. Angepaßt sähe das Statement dann so aus: FOR /F usebackq %%a IN (`dsquery computer "ou=xpclients,dc=domain,dc=de" -o rdn`) DO (wmic /NODE:%%a /USER:"DOMAIN\user" /PASSWORD:"kennwort" /namespace:root\cimv2 useraccount) >> accounts_%%a.txt Viele Grüße olc Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 ? das kapier ich jetzt nicht. mit dem logonscript erwisch ich jeden user, der sich in meiner domäne anmeldet. oder was meinst du? sorry, nobex...steh grad ein wenig am schlauch :D Du erwischst z.B. User 1 erst mal an seinem (Haupt-)PC A und User 2 an PC B. Wenn die beiden nie die Rechner tauschen, wirst Du nie erfahren, ob User 1 nicht evtl. auch Admin an PC B ist. Zitieren Link zu diesem Kommentar
twenty 12 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 Ein Anmeldescript: net localgroup administratoren >\\server\freigabe\%computername%.txt Dann hast Du für jeden Computer ein eigenes File. Oder net localgroup administratoren >>\\server\freigabe\ausgabe.txt damit werden alle in einem File gespeichert. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 Hi, noch ein anderer Einwurf zu dem Thema: Ist der Benutzer eine Person oder stellt der Account einen Service Account o.ä. dar? Wenn der Benutzer eine reale Person ist, kann er sich mit Admin-Rechten auch weitere Accounts / Gruppen anlegen, die Du ebenfalls überprüfen müßtest. Außerdem kann ein Benutzer auch verschachtelt über Gruppen in der Gruppe der Administratoren Mitglied sein - auch ein möglicher Schwachpunkt, nur die built-in Administratoren Gruppe auszulesen. Sind verschiedene Sprachversionen in der Umgebung enthalten, hilft die Abfrage auf den Namen auch nicht weiter. Die Varianten mit den Loginscripts finde ich persönlich nicht so optimal, da das Auslesen immer von der Anmeldung des Benutzers abhängig ist. Ich würde eher eine Remote-Lösung wählen, wie oben einige gepostet wurden. Alles in allem gibt es also noch einige Fehlerquellen. Vielleicht kannst Du ja noch einmal ein wenig genauer schildern, was genau der Hintergrund ist. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.