|
Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Проверка локальных администраторов на машинах в домене |
|
Проверка локальных администраторов на машинах в домене
|
Ветеран Сообщения: 5624 |
Профиль | Отправить PM | Цитировать
Утилита, которая обходит все машины в домене, собирая информацию о том, кто находится в локальных администраторах, сравнивает полученный список с заданным шаблоном и выдает список соответствий шаблону.
Красным выделены те машины в домене, в локальных администраторах которых есть пользователи, которых нет в заданном Вами шаблоне (Domain Admins, Администратор, домен\группа). Для работы необходимо входить в группу локальных администраторов на проверяемых машинах. Утилита была бы удобна для начинающих администраторов, для проверки своей сети или же для плановых проверок - проверять, не нашелся ли "умник" в сети. Текущая версия: 2.3.7 Возможности: * Многопоточное сканирование (примерно 0.3 сек/машина); * Сканирование по заданному IP диапазону; * Сканирование домена, которому принадлежит компьютер; * Выборочное сканирование машин по вручную вводимому списку * Сканирование своей подсети (*.*.*.1-*.*.*.255); * Шаблонные записи администраторов для быстрого заполнения шаблонной таблицы. * Сохранение шаблонов администраторов, имени и пароля для подключения, диапазона IP для последующего запуска программы * Подсветка записей различными цветами для наглядного отображения процесса сканирования. * Экспорт результатов сканирования в Excel * Возможность удаленно изменить пароль локальному пользователю, а также включить/отключить учетную запись. * Возможность удаленно удалить локального пользователя из группы "Администраторы"/"Administrators" * Возможность управлять доменными учетными записями и группами в группе администраторов. ** Добавлена английская локализация. Выбор языка автоматический в зависимости от языка ОС. ** Добавлена возможность добавлять произвольный список имен машин (ПКМ на окне "отдельные машины") Правила использования: 1. Вводим имя и пароль пользователя, предположительно обладающего правами администратора на удаленных машинах. Как правило, это пользователь, принадлежащий доменной глобальной группе Администраторы домена (Domain Admins). Имя вводится БЕЗ указания домена, т.е. просто user, administrator и т.д. 2. Заполняем шаблон администраторов. В конечном итоге шаблон должен выглядеть так, как выглядят записи при просмотре через проводник списка пользователей группы Администраторы, а именно: 2.1 Доменные пользователи и группы должны быть указаны с префиксом домена, т.е. domain\ОИТ, domain\Администраторы домена. 2.2 Локальные администраторы указываются без указания префикса, т.к. на каждой машине свой префикс. Т.е. локальные пользователи должны записываться как Администратор, Вова, Саша и т.д. Для добавления пользователей можно использовать быстрый набор, т.е. нажать на имя домена слева от поля, введется фраза domain\, затем нажать на шаблонное слово, и кнопку Добавить. В итоге добавится запись, например domain\Администраторы домена. 3. Выбираем вариант сканирования. 3.1 Моя подсеть - при нажатии вычисляется текущий адрес компьютера, выставляется диапазон от 1 до 255 и подставляется в текстовые поля. 3.2 Произвольный диапазон IP адресов. Можно указывать адреса как от 1 до 255, так и большие диапазоны (192.168.1.0-192.168.5.255). Не рекомендую вводить диапазоны типа от 1.1.1.0 до 192.168.1.255 - устанете ждать, пока сформируется такой огромный список 3.3 Весь домен. Тут все просто - сам сформируется список, останется только нажать "Начать сканирование". После окончания сканирования жмем "Закрыть" - открывается дерево отсканированных машин. Красным выделены те станции, в которых есть "левые" администраторы. При выборе компьютера справа отобразится подробный список данных. Нелегальный администратор будет подсвечен красным цветом. Ссылки на скачивание: 1. Мой сайт 2. soft.oszone.net Скриншоты и последняя версия в первую очередь появляются на моем сайте. |
|
------- Отправлено: 05:50, 20-09-2010 |
Ветеран Сообщения: 5624
|
Профиль | Отправить PM | Цитировать |
------- Отправлено: 09:54, 23-09-2010 | #31 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 12417
|
Профиль | Отправить PM | Цитировать Цитата Delirium:
Т.е. нажал - вывел без сканирования. Цитата Delirium:
|
||
------- Отправлено: 11:51, 23-09-2010 | #32 |
Ветеран Сообщения: 5624
|
Профиль | Отправить PM | Цитировать Цитата exo:
Цитата exo:
Сканирование можно прервать, на экране отобразится уже собранная информация, она не исчезнет никуда. Ну и само собой, без задания шаблона нет смысла запускать сканирование, тут же вся мулька как раз в подсвечивании проблемных машин, чтобы их можно было оперативно просмотреть |
||
------- Отправлено: 17:13, 23-09-2010 | #33 |
Ветеран Сообщения: 1001
|
Профиль | Отправить PM | Цитировать Было бы не полохо включить в код обработчик ошибок. В вашем случае программа тратит ненужное время на проверку несуществующих компьютеров.
Я использовал для этой задачи следующий код (и обработку того, что выдает функция pingstatus) Т.е скрипт (vbs) пинговал компьютер, перед тем как проверить админов и записывал в лог ошибку - работает раз в 10 быстрее, чем без проверки On Error Resume Next strWorkstation = "." Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\" & strWorkstation & "\root\cimv2") Set colPings = objWMIService.ExecQuery("SELECT * FROM Win32_PingStatus WHERE Address = '" & strComputer & "'") For Each objPing in colPings Select Case objPing.StatusCode Case 0 PingStatus = "Success" Case 11001 PingStatus = "Status code 11001 - Buffer Too Small" Case 11002 PingStatus = "Status code 11002 - Destination Net Unreachable" Case 11003 PingStatus = "Status code 11003 - Destination Host Unreachable" Case 11004 PingStatus = "Status code 11004 - Destination Protocol Unreachable" Case 11005 PingStatus = "Status code 11005 - Destination Port Unreachable" Case 11006 PingStatus = "Status code 11006 - No Resources" Case 11007 PingStatus = "Status code 11007 - Bad Option" Case 11008 PingStatus = "Status code 11008 - Hardware Error" Case 11009 PingStatus = "Status code 11009 - Packet Too Big" Case 11010 PingStatus = "Status code 11010 - Request Timed Out" Case 11011 PingStatus = "Status code 11011 - Bad Request" Case 11012 PingStatus = "Status code 11012 - Bad Route" Case 11013 PingStatus = "Status code 11013 - TimeToLive Expired Transit" Case 11014 PingStatus = "Status code 11014 - TimeToLive Expired Reassembly" Case 11015 PingStatus = "Status code 11015 - Parameter Problem" Case 11016 PingStatus = "Status code 11016 - Source Quench" Case 11017 PingStatus = "Status code 11017 - Option Too Big" Case 11018 PingStatus = "Status code 11018 - Bad Destination" Case 11032 PingStatus = "Status code 11032 - Negotiating IPSEC" Case 11050 PingStatus = "Status code 11050 - General Failure" Case Else PingStatus = "Status code " & objPing.StatusCode & " - Unable to determine cause of failure." End Select Next |
Отправлено: 21:12, 24-09-2010 | #34 |
Ветеран Сообщения: 5624
|
Профиль | Отправить PM | Цитировать Цитата Ivan Bardeen:
Цитата Delirium:
|
||
------- Отправлено: 01:21, 25-09-2010 | #35 |
Ветеран Сообщения: 12417
|
Профиль | Отправить PM | Цитировать ребята... проверять пингом наличие машины - это не серьёзно...
|
------- Отправлено: 17:36, 25-09-2010 | #36 |
Ветеран Сообщения: 1001
|
Профиль | Отправить PM | Цитировать Цитата exo:
Ваши предложения, касаемо функционала утилиты |
|
Отправлено: 21:41, 25-09-2010 | #37 |
Ветеран Сообщения: 5624
|
Профиль | Отправить PM | Цитировать exo, IP можно получить двумя путями - непосредственно пинг или же запрашивать адрес у DNS сервера наподобие Nslookup. Если простой пинг не прошел, и DNS не знает такого имени, это говорит о недоступности машины или же о устаревшей записи в AD. Так что способ вполне верный.
|
------- Отправлено: 04:38, 26-09-2010 | #38 |
Ветеран Сообщения: 12417
|
Профиль | Отправить PM | Цитировать Цитата Ivan Bardeen:
Цитата Delirium:
ДНС я думаю стоит опустить, ибо резолв будет в 90 %, при этом не будет пинга - как быть ?! помню тут тема была одна, автор утверждал, что браузер прежде чем загрузить контент сайта, сначала пингует его... Цитата Ivan Bardeen:
|
|||
------- Отправлено: 09:42, 27-09-2010 | #39 |
Ветеран Сообщения: 5624
|
Профиль | Отправить PM | Цитировать exo, начнем с того, что в нормальной сети администратор домена имеет полные права доступа куда угодно, включая и пинг машин. Утилита предназначена для администраторов и нормальной сети. Если по каким то причинам ping закрыт или dns не работает, это не повод наворачивать десятки проверок на доступность машины. Админу машина во включенном состоянии должна быть доступна всегда, иначе как решать проблемы, если сам себе все перекроешь
Цитата exo:
И вообще, разговор пошел оффтоп. Если есть предложения/замечания/недочеты, прошу изложить. Если нет, то не стоит разводить холивары. |
|
------- Отправлено: 12:38, 27-09-2010 | #40 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Добавление доменной группы в группу локальных администраторов | gadkin | Microsoft Windows NT/2000/2003 | 18 | 12-10-2010 11:47 | |
В домене на некот машинах не меняет пароль | Wil_Bober | Microsoft Windows NT/2000/2003 | 9 | 29-01-2008 00:23 | |
Изменения состава локальных администраторов | lumoder | Microsoft Windows NT/2000/2003 | 7 | 24-12-2007 10:16 | |
Массовая смена паролей администраторов компьютеров в домене. | babki | Microsoft Windows NT/2000/2003 | 5 | 24-08-2007 15:41 | |
Как на некоторых машинах в домене заменить 1 файл??? | Sidelong | Microsoft Windows NT/2000/2003 | 7 | 21-06-2006 11:02 |
|