4
Lokale Rechte eines USer in der Domäne ermitteln
Hallo und guten Tag,
vielleicht sehe ich gerade den Wald vor lauter Bäume nicht. Ich brauche Eure Hilfe.
Ich habe verschiedene Domänen übernommen SRV2012-19 und vermute das einige Domänen User , die keinen Admin Rechte in der Domäne haben, an verschiedenen phy. Maschienen in der Gruppe der lokalen Administratoren stehen.
Wie kann ich die ermitteln/auflisten vom DC aus ? Ich bräuchte also den USer Name und den Namen der phy. Maschiene. Geht sowas?
und eventl. auch aus der lokalen Admin Gruppe entfernen.
Ich bedanke mich schon jetzt für den Input.
Gruss HAR
vielleicht sehe ich gerade den Wald vor lauter Bäume nicht. Ich brauche Eure Hilfe.
Ich habe verschiedene Domänen übernommen SRV2012-19 und vermute das einige Domänen User , die keinen Admin Rechte in der Domäne haben, an verschiedenen phy. Maschienen in der Gruppe der lokalen Administratoren stehen.
Wie kann ich die ermitteln/auflisten vom DC aus ? Ich bräuchte also den USer Name und den Namen der phy. Maschiene. Geht sowas?
und eventl. auch aus der lokalen Admin Gruppe entfernen.
Ich bedanke mich schon jetzt für den Input.
Gruss HAR
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 533135
Url: https://administrator.de/contentid/533135
Printed on: April 27, 2024 at 14:04 o'clock
4 Comments
Latest comment
HI,
ich verstehe deine Frage nicht ganz. Willst du alle User auflisten die via AD mit lokalen Administratorrechten ausgestattet sind oder alle Maschinen auf denen ein lokaler Administrator eingerichtet ist?
Normalerweise wird eine eigene Sicherheits-Gruppe z.B. "__LokalAdmins" an die Clients delegiert und diese ist ein Mitglied der BUILD-IN-Gruppe Administrators. Du müsstest also nur die Member der Gruppe "__LokalAdmins" auflisten. Da sich in einer Domain, sofern das nicht eingeschränkt wurde, jeder Benutzer an jeder beliebigen Domain-Maschine anmelden kann, ist es müßig auch den Hostname wissen zu wollen.
Willst du aber wissen auf welcher Maschine ein bestimmter lokaler User mit Adminrechten vorhanden ist, ist es etwas schwieriger.
vielleicht ist da was dabei für dich:
https://social.technet.microsoft.com/wiki/contents/articles/52272.window ...
https://powershell.org/2013/04/get-local-admin-group-members-in-a-new-ol ...
https://community.spiceworks.com/how_to/156183-how-to-get-local-administ ...
Grüße!
ich verstehe deine Frage nicht ganz. Willst du alle User auflisten die via AD mit lokalen Administratorrechten ausgestattet sind oder alle Maschinen auf denen ein lokaler Administrator eingerichtet ist?
Normalerweise wird eine eigene Sicherheits-Gruppe z.B. "__LokalAdmins" an die Clients delegiert und diese ist ein Mitglied der BUILD-IN-Gruppe Administrators. Du müsstest also nur die Member der Gruppe "__LokalAdmins" auflisten. Da sich in einer Domain, sofern das nicht eingeschränkt wurde, jeder Benutzer an jeder beliebigen Domain-Maschine anmelden kann, ist es müßig auch den Hostname wissen zu wollen.
Willst du aber wissen auf welcher Maschine ein bestimmter lokaler User mit Adminrechten vorhanden ist, ist es etwas schwieriger.
vielleicht ist da was dabei für dich:
https://social.technet.microsoft.com/wiki/contents/articles/52272.window ...
https://powershell.org/2013/04/get-local-admin-group-members-in-a-new-ol ...
https://community.spiceworks.com/how_to/156183-how-to-get-local-administ ...
Grüße!
Danke
Ich werde die Links mal durcharbeiten.
Zu Verständniss:
Ich will wissen welche User ( das könnten sowohl lokale (nicht Domänen User ) und/oder Domänen USer in der LOKALEN Gruppe der Administratoren ( an dem Arbeitsplatz) sind.
Einerseits bin ich froh das es nicht einfach ist.......sonst hätte ich selbst drauf kommen können anderseits muss ich jeden Arbeitsplatz ablaufen und die Gruppe prüfen ( was ich nicht will)
Ich hab jetzt auch ein paar Ansätze in Powershell gefunden ..da muss ich mich aber erst mal einarbeiten.
Gruss
Ich werde die Links mal durcharbeiten.
Zu Verständniss:
Ich will wissen welche User ( das könnten sowohl lokale (nicht Domänen User ) und/oder Domänen USer in der LOKALEN Gruppe der Administratoren ( an dem Arbeitsplatz) sind.
Einerseits bin ich froh das es nicht einfach ist.......sonst hätte ich selbst drauf kommen können anderseits muss ich jeden Arbeitsplatz ablaufen und die Gruppe prüfen ( was ich nicht will)
Ich hab jetzt auch ein paar Ansätze in Powershell gefunden ..da muss ich mich aber erst mal einarbeiten.
Gruss
Einerseits bin ich froh das es nicht einfach ist.......sonst hätte ich selbst drauf kommen können anderseits muss ich jeden Arbeitsplatz ablaufen und die Gruppe prüfen ( was ich nicht will)
Nö das kannste auch von einem Platz aus über die Computerverwaltung machen.
Ansonsten kleinen Script schreiben, was die Gruppen ausliest und in eine TXT (Netzlaufwerk) schreibt.
Das verteilst du dann einmal per GPO und muss dann nur noch auf die Ergebnisse warten.
Schau mal das an: Administrative Accounts in der Domäne
Das kannst Du nutzen.
Das kannst Du nutzen.