harbyadm
Goto Top

Lokale Rechte eines USer in der Domäne ermitteln

Hallo und guten Tag,
vielleicht sehe ich gerade den Wald vor lauter Bäume nicht. Ich brauche Eure Hilfe.
Ich habe verschiedene Domänen übernommen SRV2012-19 und vermute das einige Domänen User , die keinen Admin Rechte in der Domäne haben, an verschiedenen phy. Maschienen in der Gruppe der lokalen Administratoren stehen.
Wie kann ich die ermitteln/auflisten vom DC aus ? Ich bräuchte also den USer Name und den Namen der phy. Maschiene. Geht sowas?
und eventl. auch aus der lokalen Admin Gruppe entfernen.

Ich bedanke mich schon jetzt für den Input.
Gruss HAR

Content-ID: 533135

Url: https://administrator.de/forum/lokale-rechte-eines-user-in-der-domaene-ermitteln-533135.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

mayho33
mayho33 09.01.2020 um 11:45:07 Uhr
Goto Top
HI,

ich verstehe deine Frage nicht ganz. Willst du alle User auflisten die via AD mit lokalen Administratorrechten ausgestattet sind oder alle Maschinen auf denen ein lokaler Administrator eingerichtet ist?

Normalerweise wird eine eigene Sicherheits-Gruppe z.B. "__LokalAdmins" an die Clients delegiert und diese ist ein Mitglied der BUILD-IN-Gruppe Administrators. Du müsstest also nur die Member der Gruppe "__LokalAdmins" auflisten. Da sich in einer Domain, sofern das nicht eingeschränkt wurde, jeder Benutzer an jeder beliebigen Domain-Maschine anmelden kann, ist es müßig auch den Hostname wissen zu wollen.

Willst du aber wissen auf welcher Maschine ein bestimmter lokaler User mit Adminrechten vorhanden ist, ist es etwas schwieriger.

vielleicht ist da was dabei für dich:

https://social.technet.microsoft.com/wiki/contents/articles/52272.window ...

https://powershell.org/2013/04/get-local-admin-group-members-in-a-new-ol ...

https://community.spiceworks.com/how_to/156183-how-to-get-local-administ ...

Grüße!
harbyadm
harbyadm 09.01.2020 um 12:27:53 Uhr
Goto Top
Danke
Ich werde die Links mal durcharbeiten.

Zu Verständniss:

Ich will wissen welche User ( das könnten sowohl lokale (nicht Domänen User ) und/oder Domänen USer in der LOKALEN Gruppe der Administratoren ( an dem Arbeitsplatz) sind.

Einerseits bin ich froh das es nicht einfach ist.......sonst hätte ich selbst drauf kommen können anderseits muss ich jeden Arbeitsplatz ablaufen und die Gruppe prüfen ( was ich nicht will)

Ich hab jetzt auch ein paar Ansätze in Powershell gefunden ..da muss ich mich aber erst mal einarbeiten.

Gruss
itisnapanto
itisnapanto 09.01.2020 um 12:41:10 Uhr
Goto Top
Zitat von @harbyadm:

Einerseits bin ich froh das es nicht einfach ist.......sonst hätte ich selbst drauf kommen können anderseits muss ich jeden Arbeitsplatz ablaufen und die Gruppe prüfen ( was ich nicht will)

Nö das kannste auch von einem Platz aus über die Computerverwaltung machen.
Ansonsten kleinen Script schreiben, was die Gruppen ausliest und in eine TXT (Netzlaufwerk) schreibt.
Das verteilst du dann einmal per GPO und muss dann nur noch auf die Ergebnisse warten.
DerWoWusste
DerWoWusste 09.01.2020 um 12:56:40 Uhr
Goto Top
Schau mal das an: Administrative Accounts in der Domäne
Das kannst Du nutzen.