基本上每台机器都只有一个固定的域用户登录的。
18 个解决方案
#1
如何看出此用户在这台机器上是否有管理员权限呢?谢谢。
#2
机器太多,不能一台台的检查,那样太耗时间了。
#3
没想到好方法,只好一个一个来,不过不是经常要干的事,一次就够了。
#4
自己写脚本判断行吗?
脚本就用域分发到每台机器上。
脚本就用域分发到每台机器上。
#5
在域控制器管理器中看看能不能实现。
#6
按007的思路,假设主控为192.168.0.1,共享c:\log文件夹,设置脚本分发给域中每台机器执行,脚本:
[code=BatchFile]@echo off
(net localgroup administrators|find /i "domain user")&&(echo %computername%>>\\192.168.0.1\log\log.txt)
rem 以下自毁
del %0 /f /q[/code]
其实,利用扫描的办法也未必不行哦,注意以上脚本没测试
#7
可以通过组策略(组策略\本地策略\受限制的组)将不想要的域帐户移出本地 administrators 组。
注意,如果将 Administrators 组设置为成员列表空的限制组,将会丢失 Administrator 账户。
注意,如果将 Administrators 组设置为成员列表空的限制组,将会丢失 Administrator 账户。
#8
好的,谢谢大家,不知道007有什么好的脚本吗?
还有谢谢just4,我明天早上去试试你的脚本。
再就是想问大家,用DameWare NT Utilities可以吗?
我的思路是,通常User用户和Admin用户在系统盘下可以通过哪个关键的文件夹或者文件来区分吗?
比如如果用户是ADMIN用户,就一定会生成某文件,但是如果是USER用户就不能生成某文件。
如果有这样的关键文件的话,我就可以用DAMEWARE远程来一台台的查。
还有谢谢just4,我明天早上去试试你的脚本。
再就是想问大家,用DameWare NT Utilities可以吗?
我的思路是,通常User用户和Admin用户在系统盘下可以通过哪个关键的文件夹或者文件来区分吗?
比如如果用户是ADMIN用户,就一定会生成某文件,但是如果是USER用户就不能生成某文件。
如果有这样的关键文件的话,我就可以用DAMEWARE远程来一台台的查。
#9
建议使用6楼的net命令来检查
#10
大家早上好。我刚刚测试了下JUST4的命令,好像不行哦。
我设置的共享文件夹里没有生成LOG文件的。(路径没错,也是有权限写入的。)
而且我把命令后面加了暂停,也没看到它有报错。
大家还有什么好的办法吗?谢谢了。
我设置的共享文件夹里没有生成LOG文件的。(路径没错,也是有权限写入的。)
而且我把命令后面加了暂停,也没看到它有报错。
大家还有什么好的办法吗?谢谢了。
#11
007说了,最好前在echo之前还要加上net use \\serverip /user:username "password"命令,
因为上面的脚本是用共享的方式实现的,要保证共享能很好的运行,先找两台机子测试好脚本就再分发就没问题了
DameWare NT Utilities是远程协助,当然可以用这个工具一台一台的查啥,不用这个直接用系统自带的远程桌面、共享服务等都可以的,但不管怎样,如内网是xp的机子,需要刚开始时就设置好防火墙,安全策略等东西,以便于管控,否则,像dameware需要对方开启admin$,需要对方关闭ICF才行的
通常User用户和Admin用户在系统盘下可以通过哪个关键的文件夹或者文件来区分吗,楼主说的就是documents and settings下的生成的各个用户的配置文件夹啥,在这里一般只能区分administrator默认的管理员的,但users账户不管是否属管理员都有自己的配置文件,仅凭这个配置文件是无法区分该用户是否拥有管理员权限的
其实楼主要dameware一台一台排查,办法不是很多,因为domain user默认属本机users,不能配IP地址,不能访问administrator的配置文件夹,net user中显示用户组等等等都是检查的手段的
#12
非常感谢JUST4一早就来关心这个问题,谢谢。
我刚刚直接把这个文件导出到本地也不行。
我的命令是:
@echo off
(net localgroup administrators|find /i "domain user")&&(echo %computername%>>C:\log.txt)
根据你说的那么用dameware这个方案应该是不行了。谢谢。
#13
把net localgroup administrators的结果贴出来让just4看看吧
#14
需要域成员计算机打开 135/tcp 端口,供查询 wmi。
wmic /node: computername group where name='administrators' assoc /resultclass:win32_account
也可以写个 vbs 脚本可以实现。基本思路:通过 ldap 查询活动目录中的所有计算机帐户,然后通过 wmi 访问这些计算机,获取 win32_groupuser 类的信息(select PartComponent from win32_groupuser where GroupComponent like '%administrators%')。
wmic /node: computername group where name='administrators' assoc /resultclass:win32_account
也可以写个 vbs 脚本可以实现。基本思路:通过 ldap 查询活动目录中的所有计算机帐户,然后通过 wmi 访问这些计算机,获取 win32_groupuser 类的信息(select PartComponent from win32_groupuser where GroupComponent like '%administrators%')。
#15
[img=http://bbs.laoqianzhuang.com/attachment.php?aid=465370&k=a4098c2a09a29548a6fe06954cab3931&t=1268793439&sid=4ff3XRAgKcoM%2Fc52AZMW%2BQu83QkufEeETuc16l9m94R4VRA][/img]
#16
(net localgroup administrators|find /i "domain user")&&(echo %computername%>>c:\log.txt)
pause
这是我的命令。因为图片是上传到别的网站的,我把域名和机器名模糊了,给大家观看带来了不便,请原谅。
#17
还是手动检查了。
#18
THANIKS SO MUCH
#1
如何看出此用户在这台机器上是否有管理员权限呢?谢谢。
#2
机器太多,不能一台台的检查,那样太耗时间了。
#3
没想到好方法,只好一个一个来,不过不是经常要干的事,一次就够了。
#4
自己写脚本判断行吗?
脚本就用域分发到每台机器上。
脚本就用域分发到每台机器上。
#5
在域控制器管理器中看看能不能实现。
#6
按007的思路,假设主控为192.168.0.1,共享c:\log文件夹,设置脚本分发给域中每台机器执行,脚本:
[code=BatchFile]@echo off
(net localgroup administrators|find /i "domain user")&&(echo %computername%>>\\192.168.0.1\log\log.txt)
rem 以下自毁
del %0 /f /q[/code]
其实,利用扫描的办法也未必不行哦,注意以上脚本没测试
#7
可以通过组策略(组策略\本地策略\受限制的组)将不想要的域帐户移出本地 administrators 组。
注意,如果将 Administrators 组设置为成员列表空的限制组,将会丢失 Administrator 账户。
注意,如果将 Administrators 组设置为成员列表空的限制组,将会丢失 Administrator 账户。
#8
好的,谢谢大家,不知道007有什么好的脚本吗?
还有谢谢just4,我明天早上去试试你的脚本。
再就是想问大家,用DameWare NT Utilities可以吗?
我的思路是,通常User用户和Admin用户在系统盘下可以通过哪个关键的文件夹或者文件来区分吗?
比如如果用户是ADMIN用户,就一定会生成某文件,但是如果是USER用户就不能生成某文件。
如果有这样的关键文件的话,我就可以用DAMEWARE远程来一台台的查。
还有谢谢just4,我明天早上去试试你的脚本。
再就是想问大家,用DameWare NT Utilities可以吗?
我的思路是,通常User用户和Admin用户在系统盘下可以通过哪个关键的文件夹或者文件来区分吗?
比如如果用户是ADMIN用户,就一定会生成某文件,但是如果是USER用户就不能生成某文件。
如果有这样的关键文件的话,我就可以用DAMEWARE远程来一台台的查。
#9
建议使用6楼的net命令来检查
#10
大家早上好。我刚刚测试了下JUST4的命令,好像不行哦。
我设置的共享文件夹里没有生成LOG文件的。(路径没错,也是有权限写入的。)
而且我把命令后面加了暂停,也没看到它有报错。
大家还有什么好的办法吗?谢谢了。
我设置的共享文件夹里没有生成LOG文件的。(路径没错,也是有权限写入的。)
而且我把命令后面加了暂停,也没看到它有报错。
大家还有什么好的办法吗?谢谢了。
#11
007说了,最好前在echo之前还要加上net use \\serverip /user:username "password"命令,
因为上面的脚本是用共享的方式实现的,要保证共享能很好的运行,先找两台机子测试好脚本就再分发就没问题了
DameWare NT Utilities是远程协助,当然可以用这个工具一台一台的查啥,不用这个直接用系统自带的远程桌面、共享服务等都可以的,但不管怎样,如内网是xp的机子,需要刚开始时就设置好防火墙,安全策略等东西,以便于管控,否则,像dameware需要对方开启admin$,需要对方关闭ICF才行的
通常User用户和Admin用户在系统盘下可以通过哪个关键的文件夹或者文件来区分吗,楼主说的就是documents and settings下的生成的各个用户的配置文件夹啥,在这里一般只能区分administrator默认的管理员的,但users账户不管是否属管理员都有自己的配置文件,仅凭这个配置文件是无法区分该用户是否拥有管理员权限的
其实楼主要dameware一台一台排查,办法不是很多,因为domain user默认属本机users,不能配IP地址,不能访问administrator的配置文件夹,net user中显示用户组等等等都是检查的手段的
#12
非常感谢JUST4一早就来关心这个问题,谢谢。
我刚刚直接把这个文件导出到本地也不行。
我的命令是:
@echo off
(net localgroup administrators|find /i "domain user")&&(echo %computername%>>C:\log.txt)
根据你说的那么用dameware这个方案应该是不行了。谢谢。
#13
把net localgroup administrators的结果贴出来让just4看看吧
#14
需要域成员计算机打开 135/tcp 端口,供查询 wmi。
wmic /node: computername group where name='administrators' assoc /resultclass:win32_account
也可以写个 vbs 脚本可以实现。基本思路:通过 ldap 查询活动目录中的所有计算机帐户,然后通过 wmi 访问这些计算机,获取 win32_groupuser 类的信息(select PartComponent from win32_groupuser where GroupComponent like '%administrators%')。
wmic /node: computername group where name='administrators' assoc /resultclass:win32_account
也可以写个 vbs 脚本可以实现。基本思路:通过 ldap 查询活动目录中的所有计算机帐户,然后通过 wmi 访问这些计算机,获取 win32_groupuser 类的信息(select PartComponent from win32_groupuser where GroupComponent like '%administrators%')。
#15
[img=http://bbs.laoqianzhuang.com/attachment.php?aid=465370&k=a4098c2a09a29548a6fe06954cab3931&t=1268793439&sid=4ff3XRAgKcoM%2Fc52AZMW%2BQu83QkufEeETuc16l9m94R4VRA][/img]
#16
(net localgroup administrators|find /i "domain user")&&(echo %computername%>>c:\log.txt)
pause
这是我的命令。因为图片是上传到别的网站的,我把域名和机器名模糊了,给大家观看带来了不便,请原谅。
#17
还是手动检查了。
#18
THANIKS SO MUCH