Я работаю в небольшой некоммерческой организации, у которой около 55 настольных ПК под управлением Windows XP Pro. Контроллер домена работает под управлением Windows Server 2003. У меня вопрос из двух частей (обратите внимание, что я немного новичок, когда дело касается сетевого администрирования).
Часть 1. Есть ли простой способ определить, какие учетные записи вошли в систему с правами администратора?
Часть 2: Есть ли способ, которым я могу лишить пользователей прав администратора, не садясь за каждый отдельный компьютер?
Спасибо, что рассмотрели мои вопросы.
Для части 2 вы можете создать групповую политику групп с ограниченным доступом и использовать ее для обеспечения членства в локальной группе администраторов на рабочих станциях. Свяжите этот GPO с OU достаточно высокого уровня в AD, чтобы все рабочие станции находились под ним, и укажите фильтр WMI для GPO, чтобы он применялся только к рабочим станциям Windows XP.
Возможно, вам не понадобится часть 1, если вы реализуете часть 2.
Самый простой способ проверить, являетесь ли вы администратором, - дважды щелкнуть по часам на панели задач. Только администраторы могут изменять системное время. Если TCP IP подключен, попробуйте
dir \\%computername%\c$
Опять же, только администраторы могут переходить к общим ресурсам c $. % Computername% представляет имя компьютера, на котором выполняется код, и может использоваться в сценариях с кодом возврата уровня ошибки.
Чтобы быстро увидеть, какие учетные записи в настоящее время зарегистрированы на каждой машине, возьмите копию loggedon2 (Погуглите, чтобы найти десятки различных источников загрузки).
И 1, и 2 могут быть выполнены с помощью сценариев. У меня нет удобных ссылок, но немного поищив, вы должны найти немало примеров удаленного управления учетными записями пользователей с помощью различных языков сценариев. Некоторые из них, которые я видел в прошлом, действительно очень креативны.
Более простой способ достижения №2 - это загрузить compmgmt.msc из окна запуска и подключиться к другим рабочим станциям через имя хоста или IP. Только немного лучше, чем сидеть за их столом, и изменения, конечно, не вступят в силу, пока они не выйдут из системы, но это удобно, если вы не можете использовать GP.
Вы можете получить информацию в №1, написав сценарий, что вам больше подходит - vbscript, powershell, perl. Если немного поиграть в Google, вы получите образец кода.