Lokale Rechte eines USer in der Domäne ermitteln
Hallo und guten Tag,
vielleicht sehe ich gerade den Wald vor lauter Bäume nicht. Ich brauche Eure Hilfe.
Ich habe verschiedene Domänen übernommen SRV2012-19 und vermute das einige Domänen User , die keinen Admin Rechte in der Domäne haben, an verschiedenen phy. Maschienen in der Gruppe der lokalen Administratoren stehen.
Wie kann ich die ermitteln/auflisten vom DC aus ? Ich bräuchte also den USer Name und den Namen der phy. Maschiene. Geht sowas?
und eventl. auch aus der lokalen Admin Gruppe entfernen.
Ich bedanke mich schon jetzt für den Input.
Gruss HAR
vielleicht sehe ich gerade den Wald vor lauter Bäume nicht. Ich brauche Eure Hilfe.
Ich habe verschiedene Domänen übernommen SRV2012-19 und vermute das einige Domänen User , die keinen Admin Rechte in der Domäne haben, an verschiedenen phy. Maschienen in der Gruppe der lokalen Administratoren stehen.
Wie kann ich die ermitteln/auflisten vom DC aus ? Ich bräuchte also den USer Name und den Namen der phy. Maschiene. Geht sowas?
und eventl. auch aus der lokalen Admin Gruppe entfernen.
Ich bedanke mich schon jetzt für den Input.
Gruss HAR
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 533135
Url: https://administrator.de/forum/lokale-rechte-eines-user-in-der-domaene-ermitteln-533135.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
4 Kommentare
Neuester Kommentar
HI,
ich verstehe deine Frage nicht ganz. Willst du alle User auflisten die via AD mit lokalen Administratorrechten ausgestattet sind oder alle Maschinen auf denen ein lokaler Administrator eingerichtet ist?
Normalerweise wird eine eigene Sicherheits-Gruppe z.B. "__LokalAdmins" an die Clients delegiert und diese ist ein Mitglied der BUILD-IN-Gruppe Administrators. Du müsstest also nur die Member der Gruppe "__LokalAdmins" auflisten. Da sich in einer Domain, sofern das nicht eingeschränkt wurde, jeder Benutzer an jeder beliebigen Domain-Maschine anmelden kann, ist es müßig auch den Hostname wissen zu wollen.
Willst du aber wissen auf welcher Maschine ein bestimmter lokaler User mit Adminrechten vorhanden ist, ist es etwas schwieriger.
vielleicht ist da was dabei für dich:
https://social.technet.microsoft.com/wiki/contents/articles/52272.window ...
https://powershell.org/2013/04/get-local-admin-group-members-in-a-new-ol ...
https://community.spiceworks.com/how_to/156183-how-to-get-local-administ ...
Grüße!
ich verstehe deine Frage nicht ganz. Willst du alle User auflisten die via AD mit lokalen Administratorrechten ausgestattet sind oder alle Maschinen auf denen ein lokaler Administrator eingerichtet ist?
Normalerweise wird eine eigene Sicherheits-Gruppe z.B. "__LokalAdmins" an die Clients delegiert und diese ist ein Mitglied der BUILD-IN-Gruppe Administrators. Du müsstest also nur die Member der Gruppe "__LokalAdmins" auflisten. Da sich in einer Domain, sofern das nicht eingeschränkt wurde, jeder Benutzer an jeder beliebigen Domain-Maschine anmelden kann, ist es müßig auch den Hostname wissen zu wollen.
Willst du aber wissen auf welcher Maschine ein bestimmter lokaler User mit Adminrechten vorhanden ist, ist es etwas schwieriger.
vielleicht ist da was dabei für dich:
https://social.technet.microsoft.com/wiki/contents/articles/52272.window ...
https://powershell.org/2013/04/get-local-admin-group-members-in-a-new-ol ...
https://community.spiceworks.com/how_to/156183-how-to-get-local-administ ...
Grüße!
Einerseits bin ich froh das es nicht einfach ist.......sonst hätte ich selbst drauf kommen können anderseits muss ich jeden Arbeitsplatz ablaufen und die Gruppe prüfen ( was ich nicht will)
Nö das kannste auch von einem Platz aus über die Computerverwaltung machen.
Ansonsten kleinen Script schreiben, was die Gruppen ausliest und in eine TXT (Netzlaufwerk) schreibt.
Das verteilst du dann einmal per GPO und muss dann nur noch auf die Ergebnisse warten.
Schau mal das an: Administrative Accounts in der Domäne
Das kannst Du nutzen.
Das kannst Du nutzen.