8
CMD - Admin Check - User mit Admin Rechten finden
Hallo Werte IT Kollegen,
hier ein kleines Script womit man heraus findet ob ein User Admin Rechte hat.
Wenn der User Admin Rechte hat, wird er sofort abgemeldet.
mit whoami /groups werden alle Gruppen angezeigt wo man drinnen ist.
mit find S-1-5-32-544 wird geschaut ob man in der Gruppe "Administratoren" ist.
Die Gruppe Adminisratoren hat immer die gleiche SID S-1-5-32-544.
Wird in der Gruppen Liste die SID gefunden hat der Benutzer Admin Rechte.
Findet der Befehl keine passende SID dann wird das Errorlevel 1 erzeugt
und wir springen zum Bereich "user".
Wir haben dieses Script auf die OU "User" als Logon Script verknüpft.
Die Admin User sind bei uns in einer anderen OU,
somit sollte es keinen User in dieser OU geben der Admin Rechte hat.
Lg K
hier ein kleines Script womit man heraus findet ob ein User Admin Rechte hat.
Wenn der User Admin Rechte hat, wird er sofort abgemeldet.
@echo off
whoami /groups | find "S-1-5-32-544" > nul
if errorlevel 1 goto user
echo Benutzer ist lokaler Administrator
shutdown /l /f
goto ende
:user
echo Benutzer ist ein normaler User
goto ende
:endemit find S-1-5-32-544 wird geschaut ob man in der Gruppe "Administratoren" ist.
Die Gruppe Adminisratoren hat immer die gleiche SID S-1-5-32-544.
Wird in der Gruppen Liste die SID gefunden hat der Benutzer Admin Rechte.
Findet der Befehl keine passende SID dann wird das Errorlevel 1 erzeugt
und wir springen zum Bereich "user".
Wir haben dieses Script auf die OU "User" als Logon Script verknüpft.
Die Admin User sind bei uns in einer anderen OU,
somit sollte es keinen User in dieser OU geben der Admin Rechte hat.
Lg K
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 252622
Url: https://administrator.de/contentid/252622
Ausgedruckt am: 23.11.2024 um 09:11 Uhr
8 Kommentare
Neuester Kommentar
Moin.
Darf ich "meckern"?
Darf ich "meckern"?
Wir haben dieses Script auf die OU "User" als Startup Script verknüpft.
Dann wird es nicht funktionieren. Ein Startup-Skript läuft im Systemkontext, nicht im Userkontext.
Meckern darfst du nicht :D
Aber gegenüber Kritik bin ich offen.
Du hast natürlich vollkommen recht,
hab mich vertan, es ist ein Logon Script und kein Startup Script.
Ich werde es ausbessern, danke für den Hinweis.
Aber gegenüber Kritik bin ich offen.
Du hast natürlich vollkommen recht,
hab mich vertan, es ist ein Logon Script und kein Startup Script.
Ich werde es ausbessern, danke für den Hinweis.
Jou... dann werde ich mein Kommentar auch löschen, damit es wieder schick aussieht.
Die Idee ist gut, denn es passiert durchaus mal eine Nachlässigkeit und man lässt Nutzer temporär in die Gruppe, wer kennt das nicht.
Die Idee ist gut, denn es passiert durchaus mal eine Nachlässigkeit und man lässt Nutzer temporär in die Gruppe, wer kennt das nicht.
Du musst nicht deinen Eintrag löschen.
Ich habe einen Fehler gemacht und dazu stehe ich.
Das mit den temporären Nutzern vergisst man dann teilweiße, richtig.
Ich habe einen Fehler gemacht und dazu stehe ich.
Das mit den temporären Nutzern vergisst man dann teilweiße, richtig.
und noch etwas abgekürzt 
Grüße Uwe
whoami /groups | find "S-1-5-32-544" >nul && shutdown /l /f
Danke für die Kurzform.
Ich wollte es in lang haben damit ich es besser erklären kann und es übersichtlicher wirkt.
Weil wie man im Code sieht, gebe ich mit echo "Benutzer ist lokaler Administrator" aus,
was ja schwachsinnig ist da er das nie sehen wird, da er ja gleich abgemeldet wird
Ich finde es so schöner Ausbau fähig, gerade für Leute die im Scripten so schlecht sind wie ich ;)
Lg
Ich wollte es in lang haben damit ich es besser erklären kann und es übersichtlicher wirkt.
Weil wie man im Code sieht, gebe ich mit echo "Benutzer ist lokaler Administrator" aus,
was ja schwachsinnig ist da er das nie sehen wird, da er ja gleich abgemeldet wird
Ich finde es so schöner Ausbau fähig, gerade für Leute die im Scripten so schlecht sind wie ich ;)
Lg
Hi,
ich habe das ganze mal noch schnell so umgeschrieben, dass eine Log Datei geschrieben wird, mit den Usern, die sich mit Adminrechten Anmelden.
Man muss nur den "LogDir" Pfad entsprechend anpassen.
ich habe das ganze mal noch schnell so umgeschrieben, dass eine Log Datei geschrieben wird, mit den Usern, die sich mit Adminrechten Anmelden.
Man muss nur den "LogDir" Pfad entsprechend anpassen.
@echo off
set LogFile=NetworkShare\Logdateil.log
whoami /groups | find "S-1-5-32-544" > nul
if errorlevel 1 goto user
echo Der Benutzer %username% hat sich am %DATE% um %TIME% Uhr am Client %computername% angemeldet und ist Mitglied der Gruppe der lokalen Administratoren >>%LogFile%
shutdown /l /f /c "!!!Bitte melden Sie sich bei Ihrem Administrator!!!"
goto ende
:user
echo Benutzer ist ein normaler User
goto ende
:ende
1
Danke für die sinnvolle Erweiterung.
