Mitglieder der lokalen Administratoren-Gruppe anzeigen

    Es ist noch gängige Praxis in vielen Firmen, Benutzern auf ihrem PC lokale Administratorrechte einzuräumen. Der Umstieg auf Windows 7/8 ist eine gute Gelegenheit, diesen Zustand zu ändern, weil sich dort das Prinzip des Least Privilege leichter umsetzen lässt. Bevor man sich daran macht, Benutzern Rechte zu entziehen, ist es meistens sinnvoll, sich einen Überblick zu verschaffen, wer überhaupt Mitglied in den lokalen Administratoren-Gruppen ist.

    Die Windows-Kommandozeile bietet 2 Tools, mit denen sich die Mitglieder von Benutzergruppen auflisten lassen. Beide eignen sich für eine kleinere Zahl an PCs, wer 10000 Rechner inventarisieren möchte, wird dafür ein mächtigeres Werkzeug einsetzen.

    Abfrage mit net localgroup

    Am einfachsten kommt man mit dem net-Befehl zum Ziel. Die Eingabe von

    net localgroup Administratoren

    listet auf, wer die Privilegien eines lokalen Administrators genießt. Das Kommando könnte auch in ein Login-Script aufgenommen werden, wo es den Output für jeden PC in eine eigene Textdatei schreibt. Ein Nachteil des net-Befehls besteht darin, dass er nicht in der Lage ist, die Admininstratorengruppe remote auszulesen. Diesen Mangel könnte man zur Not mit psexec von SysInternals beseitigen.

    Gruppe auslesen mit wmic

    Wenn man Systeminformationen jeglicher Art bekommen möchte, dann ist WMI unter Windows praktisch immer eine gute Wahl. Das dafür vorhandene Kommandozeilen-Tool wmic kann daher bei dieser Aufgabe ebenfalls helfen. Der häufig empfohlene Aufruf

    wmic group where name='Administratoren' assoc:list

    tut auf den ersten Blick zwar, was man von ihm erwartet, zeigt aber nur lokale Benutzerkonten an. In der Regel wichtiger sind aber die Domänen-User, die Mitglied der lokalen Administratorengruppe sind. Diese berücksichtigt der Aufruf

    wmic path win32_groupuser where (groupcomponent="win32_group.name=\"Administratoren\",domain=\"%computername%\"")

    Dieses Verfahren hat zudem den Vorteil, dass man es auch für Remote-PCs einsetzen kann, indem man den Namen bzw. die IP-Adresse des Rechner über den Schalter /node angibt.

    Keine Kommentare