alle Lokaladmins domänenweit finden?

[communi 10]

Mahlzeit!

Kennt jemand vielleicht eine Möglichkeit (Script/Tool), wie man domänenweit von allen Client-PC's auslesen kann, wer auf den jeweiligen PC's alles in der Gruppe der lokalen Admins ist? Natürlich könnte man jetzt per mmc in die Benutzerverwaltung auf allen Clients reinschauen, bei mehreren hundert PC's ist das allerdings zu aufwändig... :-(

 

Bin für jeden Hinweis dankbar! ;-)

[Lucien 10]

Welche Benutzer denn? Domänenbenutzer? Oder wie wurde die Mitgliedschaft in die Gruppe der Lokalen Admins vorgenommen?

[communi 10]

Ja, Domänenbenutzer. Nette Kollegen meinen manchmal, daß Adminrechte das Allheilmittel bei diversen Problemen ist und "vergessen" dann meist, die entsprechenden User an ihren PC's aus der Lokaladmin-Gruppe wieder rauszuwerfen. Weil diese User allerdings dann häufig Unsinn treiben sollte einmal am Tag irgendwie geprüft werden, wer auf welchem PC in der Lokaladmin-Gruppe ist.

Die User wurden meist per Hand in die Lokaladmins aufgenommen.

[Lucien 10]

ähm.... verteilt ihr die Mitgliedschaft mit einer GPL? oder macht ihr das lokal auf den PCs?

 

Per GPL ist das ja leicht zu überprüfen.

anonsten Script: Bsp:

http://dieseyer.de/scr/lokalegruppen.vbs

 

Gruss

[Sunny61 773]

Ja, Domänenbenutzer. Nette Kollegen meinen manchmal, daß Adminrechte das Allheilmittel bei diversen Problemen ist und "vergessen" dann meist, die entsprechenden User an ihren PC's aus der Lokaladmin-Gruppe wieder rauszuwerfen.

 

Wenn Du weißt, wer auf welchen Clients in der Gruppe der lokalen Admins bleiben soll, dann könntest Du es mit einer GPO erschlagen: Eingeschränkte Gruppen

 

Auszug daraus: die Einstellung der Eingeschränkten Gruppe ersetzt komplett die lokal vorhandene Konfiguration, bzw. entfernt ggfs. alle Benutzer aus der per Default vorhandenen Gruppe und setzt dort nur noch die Mitglieder ein, die auch in der Eingeschränkten Gruppe definiert sind, spätestens bei erneuter Anmeldung des Users, bzw. nach 90 Minuten, wenn die Sicherheitsrichtlinie per Default Verhalten an die Clients neu übermittelt wird.

[communi 10]

das erledigen die Kollegen dann per Hand auf den jeweiligen PC's oder im Computerverwaltungsplugin des PC per mmc vom DC aus.

 

Das Script zeigt mir ja alle lokalen Gruppen und Benutzer an, ich suche sowas aber um nur die Mitglieder der jeweils lokalen Admins auf allen PC's aufzulisten. Also eigentlich nur PC-Name und Username(der Lokaladmin ist) als Liste ausgespuckt. Hab aber dafür noch kein passendes Script gefunden.

–

@ Sunny61: Das variiert leider immermal, manche User brauchen die Rechte häufiger, andere garnicht. Problematisch sind nur die, bei denen es "vergessen" wird, sie wieder rauszunehmen. Und um überhaupt erstmal rauszufinden, wieviele User und wer genau das alles ist hatten wir die Eingebung mit der generierten Liste. Ansonsten sind eingeschränkte Gruppen aber ne Gute Idee! Allerdings würden dann beim Ersteinsatz jede Menge User anrufen und sich beschweren bzw. würden manche PC's nicht mehr wie immer bedienbar sein. Wäre also gut, erstmal eine Auflistung in der Hand zu haben und danach zu entscheiden, wer's darf um dann die eingeschränkten Gruppen einzuführen...

[Lucien 10]

ja klar, müsstest dir das script noch ein bissl anpassen. Aber der Vorschlag von Sunny ist schon der Richtige weg, deine Kollegen sollten sich in der Zukunft an eine neue Arbeitsweise gewöhnen und das über GPL's realisieren.

Gruss

[Sunny61 773]

Mit dem Script gehts:

 

Set objNetwork = CreateObject("WScript.Network")

strComputer = objNetwork.ComputerName

strGroup = "Administratoren"

WScript.Echo "Computer: " & strComputer

Set objGroup = GetObject("WinNT://" & strComputer & "/" & strGroup & ",group")

WScript.Echo " Administrators group members:"

For Each objMember In objGroup.Members

WScript.Echo " " & objMember.Name

Next

 

Das Original und weiter sind hier zu finden: Groups

User Accounts

Lass von NT 4.0 nicht abschrecken, unter XPSP3 hats bei mir funktioniert.

[communi 10]

@Sunny61:

Lokal funktionierts ja schonmal fast wunschgemäß ;-) Jetzt brauch ich nur noch etwas Hilfe beim Anpassen. Wie kann ich das Script denn quer durch die Domäne laufen lassen und das Ergebnis in ein File schreiben anstelle der einzelnen MsgBoxes? Oder geht das nicht?

[zahni 525]

Mal vom Scripten weg:

 

Mit dem "Schweizer Messer" SystemTools.com - Windows NT/2000/XP/2003 System Management Software geht das auch so. In dem Spziellen Fall kannst du das Modul "Exporter pro" nehmen.

 

-Zahni

[communi 10]

@Zahni: genau sowas hab ich gesucht! Hab eben die Liste ausgedruckt und werd mich jetzt an die eingeschränkten Gruppen setzen. :-)

 

Vielen Dank an alle Beteiligten!!!!!

[Sunny61 773]

Jetzt brauch ich nur noch etwas Hilfe beim Anpassen. Wie kann ich das Script denn quer durch die Domäne laufen lassen und das Ergebnis in ein File schreiben anstelle der einzelnen MsgBoxes? Oder geht das nicht?

 

Doch sollte so funktionieren:

 

Const ForAppending = 8

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objTextFile = objFSO.OpenTextFile("c:\testfile.txt", ForAppending, True)
Set objNetwork = CreateObject("WScript.Network")
strComputer = objNetwork.ComputerName

strGroup = "Administratoren"
Set objGroup = GetObject("WinNT://" & strComputer & "/" & strGroup & ",group")

For Each objMember In objGroup.Members
strContent  = objMember.Name & " " &  strComputer
objTextFile.WriteLine(strcontent)
Next
objTextFile.Close

 

Ich bin zwar kein Scripting Experte, aber das läuft. Du mußt nur noch den Pfad zum Textfile anpassen.

 

BTW: Auch wenn Du dich für die andere Lösung entschieden hast, ich wollte es selbst wissen und habs deshalb fertig gemacht. ;)

[werbelutscher 10]

Es ist zwar schon mehrfach gelöst, aber hier noch ein Vorschlag der mit Bordmitteln umzusetzen ist. Einfach in das Logonscript einbinden.

 

ifmember.exe ist Bestandteil des ResKits. In das Logonverzeichnis reinlegen und loslegen.

ifmember Administratoren
if %errorlevel% == 1 echo %username% >> \\Server\userlogs\adm\%computername%.log