5
Lokale Administrator(Adminrechte) in einer Domäne ausfindig machen
Guten Morgen,
aktuell ist folgende Situation gegeben:
Mehrere Domänen (A, B, C und D)
Für jede Domäne exisitieren lokale Administratoren, die über die GPO an die Clients verteilt wurden, so das man eben Adminzeugs auf diesen erledigen kann.
Um eventuelle Missverständnisse vorzubeugen: die lokalen Administratoren =/= Administratoren auf den Rechnern sondern User die nur Adminrechten auf Clients haben! =)
Beim arbeiten ist dabei aufgefallen, das es wohl einige User gibt die Adminrechte besitzen, die sie nicht besitzen sollte, und daher stellt sich jetzt die eigentliche Frage zum Problem:
Gibt es einen simplen Weg herauszufinden, welcher User/Rechner lokale Adminrechte zugeteilt bekommen hat, ohne an jedem Rechner nachschauen zu müssen?
Google/Forum Suche genutzt, doch nichts Zielführendes gefunden..
Beste Grüße und einen angenehmen Start in die Woche
aktuell ist folgende Situation gegeben:
Mehrere Domänen (A, B, C und D)
Für jede Domäne exisitieren lokale Administratoren, die über die GPO an die Clients verteilt wurden, so das man eben Adminzeugs auf diesen erledigen kann.
Um eventuelle Missverständnisse vorzubeugen: die lokalen Administratoren =/= Administratoren auf den Rechnern sondern User die nur Adminrechten auf Clients haben! =)
Beim arbeiten ist dabei aufgefallen, das es wohl einige User gibt die Adminrechte besitzen, die sie nicht besitzen sollte, und daher stellt sich jetzt die eigentliche Frage zum Problem:
Gibt es einen simplen Weg herauszufinden, welcher User/Rechner lokale Adminrechte zugeteilt bekommen hat, ohne an jedem Rechner nachschauen zu müssen?
Google/Forum Suche genutzt, doch nichts Zielführendes gefunden..
Beste Grüße und einen angenehmen Start in die Woche
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 652463
Url: https://administrator.de/contentid/652463
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
5 Kommentare
Neuester Kommentar
Hi,
z.B. per GPO einen Scheduled Task an alle Computer ausrollen, welcher ausführt
Die von den Clients erstellten Dateien dann auswerten.
E.
Oder
z.B. per GPO einen Scheduled Task an alle Computer ausrollen, welcher ausführt
get-localgroup "administrator*" | get-localgroupmember | out-file irgendwohin_auf_eine_Freigabe E.
Oder
get-localgroup | ?{$_.SID -eq "S-1-5-32-544"} | get-localgroupmember | out-file irgendwohin_auf_eine_Freigabe 
2
Servus,
ich würde direkt in der GPO mit der du die lokalen Admins an die Clients verteilst, einstellen,
das er die Mitgliederbenutzer der Gruppe Administratoren (integriert) löscht.
Dann kanst du dir das auslesen sparen.
Hier mal ein Screenshot dazu:
Grüße
Thomas
ich würde direkt in der GPO mit der du die lokalen Admins an die Clients verteilst, einstellen,
das er die Mitgliederbenutzer der Gruppe Administratoren (integriert) löscht.
Dann kanst du dir das auslesen sparen.
Hier mal ein Screenshot dazu:
Grüße
Thomas
1
Ich würde die Ausgabe einschränken und so die Rechner rausfiltern, die nur die erwarteten Mitglieder in der Admingruppe haben:
Die Dateien, die leer sind (Size= 0KB) tragen die Namen der Computer, bei denen nur administrator und domänen-admins in der Gruppe sind. die anderen kannst Du dir dann ansehen.
eazy-isis Weg ist natürlich ok, wenn Du dich sicher fühlst, so keine Admins rauszuwerfen, die du nicht auf dem Schirm hast.
get-localgroup "administrator*" | get-localgroupmember | where {$_.name -notmatch 'administrator|domänen-admins'} | out-file \\server\share\$env:computername.txt eazy-isis Weg ist natürlich ok, wenn Du dich sicher fühlst, so keine Admins rauszuwerfen, die du nicht auf dem Schirm hast.
1
Ich hatte es eigentlich so verstanden,
das er ja genau die , die er nicht auf dem Schirm hat rauswerfen möchte.
Die erlaubten lokalen Admins dann einfach, wie z.B. in meinem Beispiel in die Gruppe
"Workstation-Admins" packen und gut ist.
Aber wenn man auf der ganz sicheren Seite sein will, dann erst wie beschrieben auslesen.
Grüße
Thomas
das er ja genau die , die er nicht auf dem Schirm hat rauswerfen möchte.
Die erlaubten lokalen Admins dann einfach, wie z.B. in meinem Beispiel in die Gruppe
"Workstation-Admins" packen und gut ist.
Aber wenn man auf der ganz sicheren Seite sein will, dann erst wie beschrieben auslesen.
Grüße
Thomas
1
Das mit den Workstation-Admins ist ja auch unpassend, wenn er pro Workstation nur einen Admin (und nicht immer den selben) zulassen will.
1
