Ifmember für Admincheck im Netz

[Daveatweb 10]

Hallo allerseits!

 

Ich möchte die lokalen Admins in meinem Netzwerk (WinNT Server & Win2003 Server) ermitteln da diesbezüglich keine Liste besteht und demnach ein erhötes Risiko von den Clients ausgeht. Es taucht immer mal wieder ein Laptop auf auf dem der User Admin Berechtigung hat da er in der lokalen Admingruppe ist.

 

Das ganze soll über ifmember gehen. Jemand eine Ahung wie ich das Tool diesbezüglich anwende? Die Hilfe zur EXE ist äußerst dürftig.

 

Gruß Dave

[lefg 276]

Hallo Dave,

 

IFmember muss letztendlich auf den Workstations ausgeführt werden. Ob dir das etwas nützt? Ich bezeifle es.

 

Du berichtest von NT- und 2k3-Server. Hast du eine eine Domäne, kann st du Skripts per Gruppenrichtlinie ausführen?

 

Gruß

 

Edgar

[humpi 11]

Hi,

wenn du die Möglichkeit über ein Script hast, geht die Abfrage so:

:administratoren

s:\ifmember administratoren

if not errorlevel 1 goto finish

net send computer %USERNAME% Mitglied Gruppe Administratoren

[lefg 276]

Man kann auf der Workstation auch ausführen:

net user administrator

Das Resultat sieht so aus:

Benutzername Administrator

Vollst„ndiger Name

Beschreibung Vordefiniertes Konto fr die Verwaltung des Computers bzw. der Dom„ne

Benutzerbeschreibung

L„ndereinstellung 000 (Standardsystemvorgabe)

Konto aktiv Ja

Konto abgelaufen Nie

 

Letztes Setzen des Kennworts 10/20/2005 9:11 PM

Kennwort l„uft ab Nie

Kennwort „nderbar 10/20/2005 9:11 PM

Kennwort erforderlich Ja

Benutzer kann Kennwort „ndern Ja

 

Erlaubte Arbeitsstationen Alle

Anmeldeskript

Benutzerprofil

Basisverzeichnis

Letzte Anmeldung 1/14/2006 11:11 AM

 

Erlaubte Anmeldezeiten Alle

 

Lokale Gruppenmitgliedschaften *Administratoren

Globale Gruppenmitgliedschaften *Kein

Der Befehl wurde erfolgreich ausgefhrt.

[lefg 276]

Interessanter ist:

net localgoup

Gruppen fr \\R413-PC02

 

-------------------------------------------------------------------------------

*Administratoren

*Benutzer

*Debuggerbenutzer

*G„ste

*Hauptbenutzer

*Hilfedienstgruppe

*Netzwerkkonfigurations-Operatoren

*Remotedesktopbenutzer

*Replikations-Operator

*Sicherungs-Operatoren

Der Befehl wurde erfolgreich ausgefhrt.

[lefg 276]

Noch schöner ist:

net localgroup administratoren

Aliasname administratoren

Beschreibung Administratoren haben uneingeschr„nkten Vollzugriff auf den Computer bzw. die Dom„ne.

 

Mitglieder

 

-------------------------------------------------------------------------------

2LUBECA\Dom„nen-Admins

Administrator

test

Der Befehl wurde erfolgreich ausgefhrt.

[lefg 276]

Wenn man das nur über das Netzwerk auf fernen Rechnern ausführen möchte, ist die psexeck von sysinternals.com eine Möglichkeit dazu.

[Daveatweb 10]

Super! Schon mal vielen Dank!

 

Habe auch schon gehört das psexeck von Sysinternals sehr praktisch dafür sein soll. Ich hoffe nur das die Einarbeitungszeit nicht allzuhoch ist... ...habe v. Sysinternal Tools nur sporatisch benutzt in der Vergangenheit genutzt...

[Daveatweb 10]

Hi,

wenn du die Möglichkeit über ein Script hast, geht die Abfrage so:

:administratoren

s:\ifmember administratoren

if not errorlevel 1 goto finish

net send computer %USERNAME% Mitglied Gruppe Administratoren

 

Diese Variaton erscheint mir am sinnvollsten für unser Netz. Leider haben wir net send deaktiviert und für mich wäre es auch praktischer einfach eine txt File in ein entsprechendes Verzeichnis kopiert zu bekommen.

 

Das ganze würde ja schon in einer Zeile gehen

 

c:\Temp\ifmember administratoren >s:\localadmins\%username%_%computername%.txt

 

Das ganze wäre in einem Script natürlich etwas netter. Kann mir jemand ein Tipp geben wie ich das umsetzen könnte? auch möchte ich den User myadmin ausschließen...

:administratoren

c:\Temp\ifmember administratoren

if not errorlevel 1 goto finish

 

so weit ok. wie realisiere ich den ausschluss von myadmin?

 

if user myadmin errorlevel 1 goto finish ###??? geht das so?

 

danach eben noch die entsprechende text file. in der dos box weiß ich wie die ausgespuckt wird, wie setze ich das im script um? da gibts doch sicher auch einen net write o.Ä. befehl...

 

PS: Nochmals danke! Kallse Forum hier. Sehr gute und schnelle Hilfe hier :) Da könnten sich andere Foren was davon abschneiden!! ;)

[Josh16 10]

Ich würde das in ein Loginscript packen und mit einem ">> \\DC\Netlogon\admins_%COMPUTERNAME%.txt"

zentral sammeln.

[Daveatweb 10]

...wenn ich das so ins loginsript haue bekomme ich die admins einfach so ausgespuckt?

 

edit: mmhhh, wenn ich recht überlege passt das nciht so ganz ins konzept. einige sid eben admins, von danen würd eich dann bei jedem start ein neues file angelgt bekommen. ich würde gerne die admins die lokal berechtigt werden im skript ausschließen. so hgat man eine übersichtlichere liste und eben eine admin liste. würde mich dennoch interessieren ob das einfach so hinhaut mit dem login skript ;)

[humpi 11]

Hi Daveatweb,

was möchtest du erreichen? Den "unberechtigten" Admins die Rechte entziehen oder nur die Information wer Admin ist?

Die Information kriegst du auch über showmbrs aus dem ResourceKit.

[lefg 276]

..... ich würde gerne die admins die lokal berechtigt werden im ...

Ich schätze mal, du hast das von mir vorgeschlagene nicht (richtig) angeschaut. :mad:

 

Ich bin deshalb nicht beleidigt, das liegt mir fern. :)

[Daveatweb 10]

@lefg: Doch habe ich. Die humpi Version ist aber etwas eleganter da ich auch user ausschließen kann etc ;)

 

@humpi: Das Skript ist soweit völlig okay. Sprich ich möchte die User anzeigen lassen die in der lokalen Administratorengruppe sind und diese eben als Textfile ausgeben:

 

%username%%computername%.txt

 

die txt file bleibt leer.

 

da wir einige user haben die lokal admin rechte haben und behalten möchte ich diese im skript ausschließen, da mir diese ja bei jedem durchlauf wieder als text angezeigt werden würden.

[humpi 11]

Hi,

probier mal ifmember /v >%USERNAME%%COMPUTERNAME%.txt