3
Windows Netzwerk - vorhandene Arbeitsstationen via DC scannen und lokale Administratoren auslesen
Hallo zusammen,
hat evtl. jemand eine Info wie ich ein Windows Netzwerk scannen kann, um auf den vorhandenen Arbeitsstationen im Netzwerk die jeweiligen lokalen Administratoren auslesen kann.
Ein Hinweis. Wahrscheinlich wird es Probleme/Berechtigung bezgl. WMI geben. Hierfür benötige ich auch ncoh eine Abhilfe.
Es würde auch schon reichen, hierfür eine Info zu bekommen wonach ich da genau suchen muss.
Hintergrund ist das Verhindern, das die Benutzer selbstständig Iokale Installationen durchführen
Danke im voraus
hat evtl. jemand eine Info wie ich ein Windows Netzwerk scannen kann, um auf den vorhandenen Arbeitsstationen im Netzwerk die jeweiligen lokalen Administratoren auslesen kann.
Ein Hinweis. Wahrscheinlich wird es Probleme/Berechtigung bezgl. WMI geben. Hierfür benötige ich auch ncoh eine Abhilfe.
Es würde auch schon reichen, hierfür eine Info zu bekommen wonach ich da genau suchen muss.
Hintergrund ist das Verhindern, das die Benutzer selbstständig Iokale Installationen durchführen
Danke im voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 583971
Url: https://administrator.de/contentid/583971
Printed on: April 26, 2024 at 17:04 o'clock
3 Comments
Latest comment
Hi.
Ich empfehle, keinen Scan von einem DC aus (Pull) zu machen, da du so nur die PCs erwischt, die eingeschaltet sind und auch die benötigten Ports offen haben. Mach lieber einen Push, also ein auslesen am Client, welcher dann in eine Logdatei auf einen Server schreibt.
Siehe auch Administrative Accounts in der Domäne
Du kannst dieses Powershellskript über einen immediate scheduled Task verteilen, so dass es beim nächsten GPO-Refresh sofort läuft.
Ich empfehle, keinen Scan von einem DC aus (Pull) zu machen, da du so nur die PCs erwischt, die eingeschaltet sind und auch die benötigten Ports offen haben. Mach lieber einen Push, also ein auslesen am Client, welcher dann in eine Logdatei auf einen Server schreibt.
Get-LocalGroupMember -group administratoren
if ( $? -eq $false ) {
out-file \\server\logging$\adminaccounts\!$env:computername.txt
}
Get-LocalGroupMember -Group Administratoren | sls Administrator,Domänen-Admins -NotMatch | out-file \\server\logging$\adminaccounts\$env:computername.txtDu kannst dieses Powershellskript über einen immediate scheduled Task verteilen, so dass es beim nächsten GPO-Refresh sofort läuft.
Hi,
Klasse und Hut ab, funktioniert.
Hier vielleicht ein kleiner Zusatz/Vervollständigung zur Verteilung per immediate scheduled Task:
https://4sysops.com/archives/run-powershell-scripts-as-immediate-schedul ...
Danke nochmal,
Gruß
Mark
Klasse und Hut ab, funktioniert.
Hier vielleicht ein kleiner Zusatz/Vervollständigung zur Verteilung per immediate scheduled Task:
https://4sysops.com/archives/run-powershell-scripts-as-immediate-schedul ...
Danke nochmal,
Gruß
Mark
N'Abend.
Das User keine Admin-Rechte benötigen oder gar haben sollten, ist schon mal ein guter Schritt. Du musst dir aber darüber im klaren sein, dass du damit eben nicht zu 100% verhindern kannst, dass trotzdem "potentiell unerwünschte Applikationen" auf dem Rechner landen.
Cheers,
jsysde
Zitat von @Tschakalaka:
[...]Hintergrund ist das Verhindern, das die Benutzer selbstständig Iokale Installationen durchführen
Kurzer Nachsatz hierzu: Das greift zu kurz - es gibt etliche Anwendungen (wie z.B. Firefox oder Chrome), die sich prima ohne Adminrechte "installieren" lassen. Die Setups schreiben dann halt nicht nach %programfiles%, sondern nach %localappdata% oder %appdata%, aber die Installation klappt dennoch (steht halt nur dem User zur Verfügung, der das Setup ausgeführt hat).[...]Hintergrund ist das Verhindern, das die Benutzer selbstständig Iokale Installationen durchführen
Das User keine Admin-Rechte benötigen oder gar haben sollten, ist schon mal ein guter Schritt. Du musst dir aber darüber im klaren sein, dass du damit eben nicht zu 100% verhindern kannst, dass trotzdem "potentiell unerwünschte Applikationen" auf dem Rechner landen.
Cheers,
jsysde