Koelsche 10 Geschrieben 5. Oktober 2005 Melden Teilen Geschrieben 5. Oktober 2005 Hallo zusammen! Ich möchte in einem bestehendem globalem Netzwerk die User rausfinden die Lokale Adminrechte haben. Was für ein tool kann mir da weiterhelfen da die User sich nur über die Domain anmelden sollen mit den rechten die ihnen gegeben wurden. Vielen Dank Koelsche Zitieren Link zu diesem Kommentar
MrReview 10 Geschrieben 5. Oktober 2005 Melden Teilen Geschrieben 5. Oktober 2005 Zu der einen Frage kann ich so direkt nichts sagen... Es gibt aber die Möglichkeit, Gruppen zu überwachen, so dass nicht einfach so Leute dort hinein können, die da nix zu suchen haben... Für weitere Infos müsste ich nen Kollegen anhauen (oder googeln :-)) Gruß Daniel Zitieren Link zu diesem Kommentar
Koelsche 10 Geschrieben 5. Oktober 2005 Autor Melden Teilen Geschrieben 5. Oktober 2005 Danke aber eine überwachung bringt mir eher wenig. Ich brauche wirklich etwas was mir anzeigt wenn der User im Netz ist ob er lokal noch adminrechte besitzt. Ansonsten müsste ich mich bei über 1000 Usern einzeln einloggen und selber nachschauen. :-( Zusätzlich wäre es auch noch gut zu wissen ob sie in der Gruppe der Administratoren Mitglied sind. Zitieren Link zu diesem Kommentar
MrReview 10 Geschrieben 5. Oktober 2005 Melden Teilen Geschrieben 5. Oktober 2005 Na, wenn sich die User nur mit den Rechten anmelden sollen, die sie in der Domäne haben, dann hilft eine überwachte Gruppe ja schon... Sobald eine Gruppe überwacht ist, lässt sie nur noch die Berechtigten User in der Gruppe zu - alle anderen werden beim nächsten booten aus der Gruppe wieder entfernt... Also würden dann auch alle nicht berechtigen User gelöscht, die sich heute (unberechtigterweise) in der Gruppe befinden. Wenn Du alle User angezeigt bekommen willst, die auf einem PC in der lokalen Admingruppe sind fällt mir spontan nur der Weg ein, erst alle PCs aus dem ADS auszulesen und dann in einer Schleife alle PCs durchzugehen um die lokale Admingruppe auszulesen?!??! Aber vielleicht gibt es ja auch ne andere Alternative? Gruß Daniel Zitieren Link zu diesem Kommentar
Koelsche 10 Geschrieben 5. Oktober 2005 Autor Melden Teilen Geschrieben 5. Oktober 2005 Wenn Du alle User angezeigt bekommen willst, die auf einem PC in der lokalen Admingruppe sind fällt mir spontan nur der Weg ein, erst alle PCs aus dem ADS auszulesen und dann in einer Schleife alle PCs durchzugehen um die lokale Admingruppe auszulesen?!??! Aber vielleicht gibt es ja auch ne andere Alternative? Gruß Daniel OK bis zum auslesen der PC komme ich noch aber wie bokomme ich dann eine schleife hin die mir anzeigt wer lokale Adminrechte besitzt? Es geht hier um das unkontrollierte Installieren von Software. Also manche User besitzen einen Lokalen Anmeldenamen mit lokalen adminrechten. Zitieren Link zu diesem Kommentar
pentium 10 Geschrieben 5. Oktober 2005 Melden Teilen Geschrieben 5. Oktober 2005 Also ich meine, das du das gar nicht brauchst, sondern mit einer GPO ganz einfach regeln kanst, das innerhalb der Domain nur der Domainadmin lokale Installationsrechte besitz und sonst niemand. Wobei man natürlich hier Branchenspezifisch aufpassen muß, weil immer mehr Programme Administrativ lokale Rechte fordern, sonst laufen Sie nicht oder zumindest auf einige Registryeinträge und Temp Verzeichnisse volles Zugriffsrecht brauchen. Sonst kanst du sogar über eine GPO dem lokalen Admin das Installationsrecht nehmen. lg Pentium Zitieren Link zu diesem Kommentar
pentium 10 Geschrieben 5. Oktober 2005 Melden Teilen Geschrieben 5. Oktober 2005 Hi Hier nochwas hilft dir villeicht weiter http://www.gruppenrichtlinien.de/Ho...en.htm#EGruppen lg pentium Zitieren Link zu diesem Kommentar
FLOST 10 Geschrieben 6. Oktober 2005 Melden Teilen Geschrieben 6. Oktober 2005 Ich glaube da hilft alles nicht. Wenn du von lokalen Anmeldenamen sprichst, kannst dus übers AD schlecht prüfen. Du musst die lokalen Rechner in dei Hand nehmen. Oder, wenn ihr standard-Clients habt ohne lokale Datenspeicherung, dann bügle ein neues System drüber und alles hat sich erledigt. FG fLOST Zitieren Link zu diesem Kommentar
Koelsche 10 Geschrieben 6. Oktober 2005 Autor Melden Teilen Geschrieben 6. Oktober 2005 Ich glaube da hilft alles nicht. Wenn du von lokalen Anmeldenamen sprichst, kannst dus übers AD schlecht prüfen. Du musst die lokalen Rechner in dei Hand nehmen. Oder, wenn ihr standard-Clients habt ohne lokale Datenspeicherung, dann bügle ein neues System drüber und alles hat sich erledigt. FG fLOST Es handelt sich um 1700 Clients mit unterschiedlicher Software und über 100 Servern in ganz Deutschland. Also fällt das Drüberbügeln flach. Wir haben ein Logonscript geschrieben das die Verwaltung ausliesst, nur die Nacharbeit ist grausam. :-( Zitieren Link zu diesem Kommentar
zordan 10 Geschrieben 6. Oktober 2005 Melden Teilen Geschrieben 6. Oktober 2005 Per VBScript kannst du User in lokale Gruppen aufnehmen und auch entfernen. Hab da damals was für unseren Schulungsraum gebastelt, da brauchten wir Hauptbenutzerrechte für gewisse Konten. Könnte das mal hier posten, wenn es dir hilft. Performance war glaub nicht so der Hit bei den WMI Abfragen, aber wenigstens musste man nicht von Hand ran. gruß Tim Zitieren Link zu diesem Kommentar
Koelsche 10 Geschrieben 6. Oktober 2005 Autor Melden Teilen Geschrieben 6. Oktober 2005 Per VBScript kannst du User in lokale Gruppen aufnehmen und auch entfernen.Hab da damals was für unseren Schulungsraum gebastelt, da brauchten wir Hauptbenutzerrechte für gewisse Konten. Könnte das mal hier posten, wenn es dir hilft. Performance war glaub nicht so der Hit bei den WMI Abfragen, aber wenigstens musste man nicht von Hand ran. gruß Tim Klar gerne ich bin für jede idee dankbar. VG Rainer Zitieren Link zu diesem Kommentar
zordan 10 Geschrieben 6. Oktober 2005 Melden Teilen Geschrieben 6. Oktober 2005 Hab mal mein damaliges Script so abgewandelt, das es die lokale Admin Gruppe durchsucht und alles kickt was nicht Administrator heißt. Müsste man also noch anpassen, falls da sonst noch der Domänen-Admin Acc rein soll oder so. '******************************************************************** ' Autor: Tim Riemer ' ' VBScript um User Accounts aus der lokalen Admin Gruppe zu löschen '******************************************************************** CompName = "." ' Computername "." entspricht lokalem Rechner 'Group = "Administrators" ' Name der lokalen Benutzergruppe EN Group = "Administratoren" ' Name der lokalen Benutzergruppe DE admin = "Administrator" ' Name lokaler Adminaccount Set oGroup = GetObject("WinNT://" & compName & "/" & Group) For Each userAcc In oGroup.Members If userAcc.Name <> admin Then ' Prüfung damit lokaler Admin nicht rausfliegt oGroup.Remove "WinNT://" & userAcc.Name ' entfernt gefunden Benutzer aus der lokalen Gruppe definiert in "Group" End IF Next Bei dem Namen der Benutzergruppe einfach das passende auskommentieren, bin es halt gewohnt mit englischen Account Namen zu arbeiten, da bei uns die Server alle nen englisches OS haben und meine Workstation selber auch. Das ganze läuft ohne Logging und Fehlerbehandlung, da könnte man natürlich noch einiges machen. Logge sowas normalerweise in nen Text File im Netlogon oder ne Excel Tabelle. Bei Fragen einfach melden Gruß Tim Zitieren Link zu diesem Kommentar
Koelsche 10 Geschrieben 10. Oktober 2005 Autor Melden Teilen Geschrieben 10. Oktober 2005 Ja, super, danke, das Hilft mir schon weiter ich werde es noch ein bisschen modifizieren aber das ist sowas was ich brauche. Vielen Dank VG Rainer Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 10. Oktober 2005 Melden Teilen Geschrieben 10. Oktober 2005 Ich möchte in einem bestehendem globalem Netzwerk die User rausfinden die Lokale Adminrechte haben. Hallo, ist tatsächlich nur lokale Adminrechte gemeint oder ob jemand über ein lokales Benutzerkonto auf einem Rechner verfügen? Gruß Edgar Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.