文章來源:獲取客戶端域用戶賬戶權限|net localgroup計算機啟動腳本
原文轉成繁體整理如下:
問題:有個需求想咨詢一下,我是否可以實現抽取AD帳戶在各個PC機上的權限級別。比如帳戶username1 在PC1 所屬administrators ,在PC2上所屬 users。不知我的需求是否明白,請告知我方法謝謝~
回答:根據您的描述,我對這個問題的理解是:您想獲取域用戶帳號在客戶端的組(Group)信息。如果我的理解有誤,請告訴我。
目前沒有工具可以直接完成您的要求,不過系統內置的 net 命令可以部分的達到您的目的。
具體步驟如下:
1,製作一個啟動腳本,其中命令為
其中
SERVERNAME={要存放的電腦名稱}
SHAREFOLDER={要存放的共用資料夾名稱,權限要能寫入。}
請記得把 ">" (全形)改為正常的 ">" (半形)。
測試成功後,看到導出的文字檔內容--有點亂,發覺暫時沒啥用處,除非能更進階的整理。
Net localgroup >\\server\share\group.txt
Net localgroup administrators >\\server\share\group.txt
Net localgroup power users >\\server\share\group.txt
Net localgroup users >\\server\share\group.txt
….
2,將這一腳本加入組策略(GPO)的啟動腳本裡,讓所有計算機運行。
這些命令中第一條將列出統計需要的計算機名稱,然後逐一顯示已知組的成員列表。這樣即使區域用戶在自定義組裡也能很快定位其所屬的組(Group),從而知道他們獲得了什麼權限。
您需要在服務器上配置一個可寫共享資料夾,讓用戶將相關信息寫入服務器文件裡。
當然如果腳本編寫的更精細一點可以讓輸出以計算機名命名(比如net localgroup > \\server\share\%COMPUTERNAME%.txt)。
Sean Cai 蔡怡林 微軟全球技術支持中心
---------------------------------------------------
測試批次檔內容如下:(GetLocalGroupRight.BAT)
@echo off
set SERVERNAME=TPDC1
set SHAREFOLDER=Share
Net localgroup > \\%SERVERNAME%\%SHAREFOLDER%\%COMPUTERNAME%.txt
Net localgroup administrators >> \\%SERVERNAME%\%SHAREFOLDER%\%COMPUTERNAME%.txt
Net localgroup "power users" >> \\%SERVERNAME%\%SHAREFOLDER%\%COMPUTERNAME%.txt
Net localgroup users >> \\%SERVERNAME%\%SHAREFOLDER%\%COMPUTERNAME%.txt
set SERVERNAME=
set SHAREFOLDER=
沒有留言:
張貼留言