rotartsinimda-ti
Feb 15, 2021 at 07:29:31 (UTC)
view5733
view5
0
Goto Top

Lokale Administrator(Adminrechte) in einer Domäne ausfindig machen

GermansolvedQuestionWindows 10Microsoft
Guten Morgen,

aktuell ist folgende Situation gegeben:

Mehrere Domänen (A, B, C und D)
Für jede Domäne exisitieren lokale Administratoren, die über die GPO an die Clients verteilt wurden, so das man eben Adminzeugs auf diesen erledigen kann.

Um eventuelle Missverständnisse vorzubeugen: die lokalen Administratoren =/= Administratoren auf den Rechnern sondern User die nur Adminrechten auf Clients haben! =)

Beim arbeiten ist dabei aufgefallen, das es wohl einige User gibt die Adminrechte besitzen, die sie nicht besitzen sollte, und daher stellt sich jetzt die eigentliche Frage zum Problem:

Gibt es einen simplen Weg herauszufinden, welcher User/Rechner lokale Adminrechte zugeteilt bekommen hat, ohne an jedem Rechner nachschauen zu müssen?

Google/Forum Suche genutzt, doch nichts Zielführendes gefunden..


Beste Grüße und einen angenehmen Start in die Woche face-smile
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 652463

Url: https://administrator.de/contentid/652463

Printed on: April 16, 2024 at 05:04 o'clock

5 Comments
Latest comment
Goto Top
Member: emeriks
Solution emeriks Feb 15, 2021 updated at 08:06:35 (UTC)
Goto Top
Hi,
z.B. per GPO einen Scheduled Task an alle Computer ausrollen, welcher ausführt
get-localgroup "administrator*" | get-localgroupmember | out-file irgendwohin_auf_eine_Freigabe
Die von den Clients erstellten Dateien dann auswerten.

E.

Oder
get-localgroup | ?{$_.SID -eq "S-1-5-32-544"} | get-localgroupmember | out-file irgendwohin_auf_eine_Freigabe
heart2
Member: eazy-isi
Solution eazy-isi Feb 15, 2021 at 09:46:09 (UTC)
Goto Top
Servus,

ich würde direkt in der GPO mit der du die lokalen Admins an die Clients verteilst, einstellen,
das er die Mitgliederbenutzer der Gruppe Administratoren (integriert) löscht.
Dann kanst du dir das auslesen sparen.
Hier mal ein Screenshot dazu:

2021-02-15 10_43_57-mremoteng - confcons.xml - ladcsrv02


Grüße
Thomas
heart1
Member: DerWoWusste
Solution DerWoWusste Feb 15, 2021 at 13:33:03 (UTC)
Goto Top
Ich würde die Ausgabe einschränken und so die Rechner rausfiltern, die nur die erwarteten Mitglieder in der Admingruppe haben:
get-localgroup "administrator*" | get-localgroupmember | where {$_.name -notmatch 'administrator|domänen-admins'} | out-file \\server\share\$env:computername.txt
Die Dateien, die leer sind (Size= 0KB) tragen die Namen der Computer, bei denen nur administrator und domänen-admins in der Gruppe sind. die anderen kannst Du dir dann ansehen.

eazy-isis Weg ist natürlich ok, wenn Du dich sicher fühlst, so keine Admins rauszuwerfen, die du nicht auf dem Schirm hast.
heart1
Member: eazy-isi
eazy-isi Feb 15, 2021 at 13:56:32 (UTC)
Goto Top
Ich hatte es eigentlich so verstanden,
das er ja genau die , die er nicht auf dem Schirm hat rauswerfen möchte.
Die erlaubten lokalen Admins dann einfach, wie z.B. in meinem Beispiel in die Gruppe
"Workstation-Admins" packen und gut ist.
Aber wenn man auf der ganz sicheren Seite sein will, dann erst wie beschrieben auslesen.

Grüße
Thomas
heart1
Member: DerWoWusste
DerWoWusste Feb 15, 2021 at 16:23:59 (UTC)
Goto Top
Das mit den Workstation-Admins ist ja auch unpassend, wenn er pro Workstation nur einen Admin (und nicht immer den selben) zulassen will.
heart1
GermansolvedQuestionWindows 10Microsoft