|
Вычислить локальных администраторов Вычислить локальных администраторов в домене. PS не предлагать, домен слишком большой. на выходе нужен тупо список ПК:список_лок_админов. |
Локальные администраторы на локальных машинах, в домене - доменные же, не? |
1-pinya > вопрос в вычислении локальных админов из числа доменных пользователей. |
Может [url=http://community.spiceworks.com/topic/276452-ability-to-scan-for-members-of-local-administrators-group-in-active-directory]это[/url] поможет =) Там есть вариант на VBS и в виде утилиты. |
vbs на логон (примерно последний пример допиленый [url]http://www.activexperts.com/network-monitor/windowsmanagement/adminscripts/usersgroups/localgroups/#ListAll.htm[/url]) , запись на шару примонтированую при входе, я п какт-о так делал, или в ad поле отдать под это дело, проще на самом деле выкинуть всех из админов локальных, но если надо только собрать... :) варианты есть, главно не забывать на обоих языках "Administrators" и "Администраторы" проверять |
701054 - если всех выкинуть из локальных админов - на крупных предприятиях, где развита лоскутная автоматизация, AutoIt-ы, VBS, WSH, BAT, VBA/XLAM работа у некоторых ответственных пользователей может резко встать и придется с позором им включить локальное админство обратно. Не смог быстрой найти пару ответов саппорта от MS - они так и сказали: верните, иначе не взлетит. Причем до этого в GP ковырялись долго, вместе с MS, часов 15, и все безрезультатно. Я не то что за 15 часов, за 10 минут запугаю ответ. работника так, что ему можно давать локадминство и он ничего плохого на компе не сделает. И не надо ему никаких ГП и лоховских прав. Пусть просто и эффективно работает. |
3- Спасибо посмотрю! 4- скрипт стоит, но хз почему всех не пишет. постоянно вылазят пробелы. 5- орг. меры - ихмо вообще не вариант. |
5-economist > да,бывает, но очень хорошо помогает отделить "мух от котлет", порой даже можно заточить, на спец права для конкретной группы доступ к веткам реестра и т.д.. |
+7 дело часто не только в том, что пользователь не сделает, зловреды же ещё разнобразные ловят время от времени. |
[quote=economist;38432903]Я не то что за 15 часов, за 10 минут запугаю ответ. работника так, что ему можно давать локадминство и он ничего плохого на компе не сделае[/quote] А не боитесь, что работник скажет "нафиг мне такие сложности, сделайте, чтоб нормально работало: это ваша работа"? Ведь вместо подушки безопасности никто не "запугивает" водителя. А если компания большая? А еще лучше - в ней есть отдельный отдел ИБ, который не поймет вашей инициативы? p.s. А если уж очень уж хочется - вместо всего этого XLAM-а нанимается нормальный программист(кстати, возможно - 1Сник), который задумки пользователя превращает в номальную программу, работающую с нормальными правами. |
9-Добрых дел мастер > вот этого вот не надо! 1сник - не программист, как и курица - не птица : ) |
так autoit и vba - это и не программирование. Как раз уровень 1С-ника. |
Добрых дел мастер - на VBA написано больше автоматизации чем на встроенном языке 1С. И во всем мире, и конкретно у меня. Скорость разработки на VBA выше примерно в 4 раза. Коммитинг кода из локального репа я у себя не делал, а друзья делали. Весьма прикольная штука - многопользовательское одновременное написание макросов VBA :-) Причем программа обновляется на лету, не закрывая Excel. |
2economist. Сравнение некорректное. 1С только в России (может быть - СНГ) используют. Но суть не в том. Я не имею ничего против vba. Я всего лишь сказал, что если vba - это программирование, то 1с - тоже программирование и наоборот (это неофициальная градация, не стоит здесь быть точным). Ну и еще один момент: а какие проблемы с правами при программировании на vba? Зачем здесь локальный админ? Я все-таки предлагал нанять админа там, где без него получалась какая-то фигня, которая требует совершенно ненужных прав и прочих нарушений техники безопасности. |
Добрых дел мастер - За пределами exUSSR 1C "продала" на 25 тыс. АРМ, с пираткой можем умножить на 5. Считать ли VBA программированием - считать. Поскольку ничем другим это не является. В США в City-банке на нем было написано все, включая морды ко всем СУБД и процессинг. Повышенные привилегии для VBA нужны часто - как только используются COM, библиотеки WinAPI итп. Если тупой сисадмин групповыми навертел "безопасность" - сложные макросы потребуют прав, исключения прописать сложно, проблемы всплывают внезапно и тогда рождается самое простое решение в виде смены группы... А нанять админа - это не модно нынче. Не так много может натворить грамотный юзер с правами админа при правильном бэкапе даже в одноранговой сети. В Microsoft, чтоб вы знали, 90000 сотрудников работает с правами администраторов домена(!), и благодаря GP у них все нормально. Админов такого уровня как у них - сейчас себе иметь слишком дорого. |
[quote=economist;38483924]Повышенные привилегии для VBA нужны часто - как только используются COM, библиотеки WinAPI итп.[/quote] Не очень понятно. Можно пример? Просто, либо есть способы сделать все правильно, либо этого инструмента лучше избегать. Вот вообще не понятно, зачем, чтобы вызвать api-функцию, какие-то чудо-права. А откуда информация про 90000 домен админов? Хотелось бы у system32 подтвердить или опровергнуть эту информацию. Да и про ситибанк откуда информация? Просто, мне вспоминается история когда различные вендоры пытались продать нам хранилку. И Хитачи и netapp при этом говорили "именно на наших хранилках weta digital делала аватара". И оказалось, что сейлы просто очень вольно трактуют факты. |
[quote=economist;38483924]В Microsoft, чтоб вы знали, 90000 сотрудников работает с правами администраторов домена(!), и благодаря GP у них все нормально.[/quote] Только не администраторов домена, а локальных администраторов. Ага. |
[quote=economist;38483924]А нанять админа - это не модно нынче. Не так много может натворить грамотный юзер с правами админа при правильном бэкапе даже в одноранговой сети.[/quote] Мне этот подход тоже нравится больше, как админу, он дает больше свободного времени при тех же деньгах - разовые работы. |
Добрых дел мастер - пример повышенных требований с VBA - вызов COM/RPC/внешних скриптов итп. Регистрация DLL ч/з regsvr также недоступна обычному юзверю. А отказываться от наработок по меньшей мере глупо. Без WinAPI в серьезных проектах на VBA - также не обойтись (перехват окон, нестандартное поведение, сокеты, свои обработчики событий итп). Про админов домена - инфа прямо от MS. Про ситибанк было написано на cnews и Pearson project. Вы всерьез считаете что VBA (и VB) это не язык программирования? Скажите это десяткам миллионов пользователей макросов в Excel, десяткам тысяч их же, но на AutoCAD, Corel итд. Им будет смешно :-) Особенно будет смешно 1,5 тысячам пиндосских компаний, занятых исключительно VBA-разработкой и поддержкой решений на нем. |
а вот интересно, кто же тут свистит [quote=economist]В Microsoft, чтоб вы знали, 90000 сотрудников работает с правами администраторов домена(!)[/quote] или [quote=system32]Только не администраторов домена, а локальных администраторов. Ага. [/quote] или [quote=economist]Про админов домена - инфа прямо от MS[/quote] неужели опять рут?))) |
[quote=economist;38496800]Про админов домена - инфа прямо от MS.[/quote] Таки у меня другая инфа. Во всем MS работает 100 с гаком тысяч человек - это не только MSIT, но и финансы, маркетинг, юристы и прочий вспомогательный персонал. И уж явно у бухгалтеров или юристов нет прав доменного админа - они им и не нужны. И более тебе скажу, их нет даже у нас - самых настоящих технарей. И не нужны они нам. Вот локальные админы - это да, на своих рабочих машинах сотрудники имеют локальные админские права. Но только локальные. |
gloomymen - осталось узнать сколько у MS доменных админов... |
Неплохо бы обсудить инструментарий для проверки. Предлагаю netscan.exe и скрипт хтоя от руссиновича в нем. В xp/vista можно было одним кликом мыши понять админ ты локальный или нет. В 7/8 - уже нет. |
как-то так $computers=import-csv 'файл с компьютерами' foreach ($computername in $computers) ** $localAdminGroup=(get-wmiobject win32_group -ComputerName $computername -Filter "LocalAccount=True AND SID='S-1-5-32-544'").name $filter1='*domain="'+$computername+'"*' $filter2='*name="'+$localAdminGroup+'"*' "=== $computername ===" (get-wmiobject win32_groupuser | where **($_.groupcomponent -like $filter1) -and ($_.groupcomponent -like $filter2)**).partComponent -replace('.*name=','') "========================`n`r`n`r" ** |
[code] $computers=import-csv 'файл с компьютерами' foreach ($computername in $computers) ** $localAdminGroup=(get-wmiobject win32_group -ComputerName $computername -Filter "LocalAccount=True AND SID='S-1-5-32-544'").name $filter1='*domain="'+$computername+'"*' $filter2='*name="'+$localAdminGroup+'"*' "=== $computername ===" (get-wmiobject win32_groupuser | where **($_.groupcomponent -like $filter1) -and ($_.groupcomponent -like $filter2)**).partComponent -replace('.*name=','') "========================`n`r`n`r" ** [/code] |
все равно фигурную скобку не любит. ну идея понятна, в wmi все есть |
Про Майкрософт написан полный бред. В компании работает около 130 тыс. человек. Зачем им 90 тыс. админов? "В США в City-банке на нем было написано все". Если это про Citi Bank, то опять бред. Про City ниче сказать не могу. Не слышалс... |
v - цифры, факты, ссылки? |
Как прикольно вас тут почитать. Ничё не понятно)) |
ТС уже ушёл, а кулаками всё машут и машут) Хоть бы отписался, что помогло и как решил. |
похоже только я не знаю сколько у мелкософта в штате сотрудников |
27-economist > [em]цифры, факты, ссылки?[/em] 1. Microsoft - Число сотрудников: 127104 чел. (2014 год) [url]https://ru.wikipedia.org/wiki/Microsoft[/url] 2. Citibank Заходим на [url]http://jobs.citi.com/[/url] Делаем поиск по VBA - 157 резул=татов Java - 574 результата C++ - 853 |
| Текущее время: 13:51. Часовой пояс GMT +3. |