Пакетный скрипт: как проверить права администратора
Как проверить, имеет ли текущий пакетный скрипт права администратора?
Я знаю, как заставить его вызвать себя с помощью runas, но не как проверить права администратора. Единственные решения, которые я видел, - это грубые взломы или использование внешних программ. Ну, на самом деле мне все равно, если это халтура, пока она работает на Windows XP и новее.
26 ответов
вопросы
blak3r / Rushyoрешение отлично работает для всего, кроме Windows 8. Бег!--2--> в Windows 8 результаты в:
The AT command has been deprecated. Please use schtasks.exe instead.
The request is not supported.
(см. скриншот № 1) и вернется %errorLevel% 1.
исследования
Итак, я пошел искать другие команды, которые требуют повышенных разрешений. rationallyparanoid.com был список из нескольких, поэтому я запускал каждую команду на двух противоположных крайностях текущих ОС Windows (XP и 8) в надежде найти команду, которой будет отказано в доступе на обеих ОС при запуске со стандартными разрешениями.
в конце концов, я нашел один - NET SESSION. А правда, чистое, универсальное решение, которое не включает:
- создание или взаимодействие с данными в безопасных местах
- анализ данных
FORпетли - поиск строки для "Администратор"
- используя
AT(Windows 8 несовместимо) илиWHOAMI(Windows XP несовместима).
каждый из которых имеет свои собственные проблемы безопасности, удобства использования и переносимости.
тестирование
я самостоятельно подтвердил, что это работает на:
- Windows XP, x86
- Windows XP, x64
- Windows Vista, x86
- Windows Vista, х64
- Windows 7, x86
- ОС Windows 7, 64-разрядных
- Windows 8, x86
- Windows 8, x64
(см. скриншот #2)
Реализация / Использование
Итак, чтобы использовать это решение, просто сделайте что-то вроде этого:
@echo off
goto check_Permissions
:check_Permissions
echo Administrative permissions required. Detecting permissions...
net session >nul 2>&1
if %errorLevel% == 0 (
echo Success: Administrative permissions confirmed.
) else (
echo Failure: Current permissions inadequate.
)
pause >nul
доступно здесь, Если вы ленивы: https://dl.dropbox.com/u/27573003/Distribution/Binaries/check_Permissions.bat
объяснение
NET SESSION стандартная команда, используемая для " управление подключениями к компьютеру сервера. Используется без параметров, [it] отображает информацию обо всех сеансах с локальным компьютером."
Итак, вот основной процесс мое реализация:
-
@echo off- отключить отображение команд
-
goto check_Permissions- перейти к
:check_Permissionsблок кода
- перейти к
-
net session >nul 2>&1- выполнить команду
- скрыть визуальный вывод команды
- перенаправление стандартного вывода (числовой дескриптор 1/
STDOUT) потокnul - перенаправление стандартной ошибки выходной поток (числовой дескриптор 2/
STDERR) в том же направлении, как цифровая ручка 1
- перенаправление стандартного вывода (числовой дескриптор 1/
-
if %errorLevel% == 0- если значение кода выхода (
%errorLevel%) is0то это означает, что нет ошибок и, следовательно, непосредственно предыдущая команда побежала успешно
- если значение кода выхода (
-
else- если значение выхода код (
%errorLevel%) не0то это означает, что ошибки и, следовательно, непосредственно предыдущая команда побежала неудачно
- если значение выхода код (
- код между соответствующими скобками будет выполняться в зависимости от того, какие критерии выполняются
скриншоты
![[imgur]](/images/content/4051883/e08e411620ccb6a84cbf4c0e8be62f62.png)
NET SESSION на Windows XP для платформы x86 - Windows 8 для 64-разрядных:
![[imgur]](/images/content/4051883/2a8b88b3e81ee8eb67df8d46c1c62a6d.png)
спасибо, @Tilka, за изменение принятого ответа на мой. :)
решение Андерса работало для меня, но я не был уверен, как инвертировать его, чтобы получить противоположное (когда вы не были администратором).
вот мое решение. У этого есть два случая, если и еще случай, и некоторое искусство ascii, чтобы люди действительно читали его. :)
Минимальная Версия
Rushyo разместил это решение здесь:как определить, работает ли CMD как администратор / имеет повышенные привилегии?
NET SESSION >nul 2>&1
IF %ERRORLEVEL% EQU 0 (
ECHO Administrator PRIVILEGES Detected!
) ELSE (
ECHO NOT AN ADMIN!
)
версия, которая добавляет сообщения об ошибках , Паузы и выходы
@rem ----[ This code block detects if the script is being running with admin PRIVILEGES If it isn't it pauses and then quits]-------
echo OFF
NET SESSION >nul 2>&1
IF %ERRORLEVEL% EQU 0 (
ECHO Administrator PRIVILEGES Detected!
) ELSE (
echo ######## ######## ######## ####### ########
echo ## ## ## ## ## ## ## ## ##
echo ## ## ## ## ## ## ## ## ##
echo ###### ######## ######## ## ## ########
echo ## ## ## ## ## ## ## ## ##
echo ## ## ## ## ## ## ## ## ##
echo ######## ## ## ## ## ####### ## ##
echo.
echo.
echo ####### ERROR: ADMINISTRATOR PRIVILEGES REQUIRED #########
echo This script must be run as administrator to work properly!
echo If you're seeing this after clicking on a start menu icon, then right click on the shortcut and select "Run As Administrator".
echo ##########################################################
echo.
PAUSE
EXIT /B 1
)
@echo ON
работает на WinXP --> Win8 (включая 32/64 битные версии).
EDIT: 8/28/2012 обновлено для поддержки Windows 8. @BenHooper указал на это в своем ответе ниже. Пожалуйста, опишите его ответ.
больше проблем
как указал @Lectrode, если вы попытаетесь запустить net session команда при остановке службы сервера появляется следующее сообщение об ошибке:
The Server service is not started.
More help is available by typing NET HELPMSG 2114
в этом случае %errorLevel% переменная будет установлена в 2.
Примечание служба сервера не запускается в безопасном режиме (с сетью или без нее).
Ищу альтернативу
что-то что:
- можно запустить из коробки в Windows XP и более поздних версиях (32 и 64 бит);
- не касается реестра или любого системного файла / папки;
- работает независимо от системной локали;
- дает правильные результаты даже в безопасном режиме.
поэтому я загрузил виртуальную машину vanilla Windows XP и начал прокручивать список приложений в C:\Windows\System32 папка, пытаясь получить некоторые идеи. После испытаний и ошибки, это грязный (каламбур) подход, который я придумал:
fsutil dirty query %systemdrive% >nul
на fsutil dirty команда требует прав администратора для запуска, и в противном случае произойдет сбой. %systemdrive% это переменные среды которая возвращает букву диска, на котором установлена операционная система. Вывод перенаправляется на nul, таким образом, игнорируется. The %errorlevel% переменная будет установлена в 0 только при успешном выполнении.
вот что документация гласит:
Fsutil грязный
запросы или устанавливает грязный бит Тома. Когда установлен грязный бит Тома, программа autochk автоматически проверит том на наличие ошибок при следующей перезагрузке компьютера.
синтаксис
fsutil dirty {query | set} <VolumePath>параметры
query Queries the specified volume's dirty bit. set Sets the specified volume's dirty bit. <VolumePath> Specifies the drive name followed by a colon or GUID.Примечания
грязный бит Тома указывает, что файловая система может находиться в несогласованное состояние. Грязный бит может быть установлен, потому что:
- объем онлайн и выдающиеся изменения.
- изменения были внесены в том, и компьютер был выключен до того, как изменения были зафиксированы на диске.
- на томе было обнаружено повреждение.
если "грязный" бит задается при перезагрузке компьютера, chkdsk выполняется для проверки целостности файловой системы и попытки исправления любые проблемы с объемом.
примеры
запросить "грязный" бит на диске C, введите:
fsutil dirty query C:
дальнейшие исследования
хотя решение выше работает с Windows XP и далее, Стоит добавить, что Windows 2000 и Windows PE (предустановленная среда) не поставляются с fsutil.exe, поэтому мы должны прибегнуть к чему-то еще.
во время моих предыдущих тестов я заметил, что работает без любые параметры либо приведут к:
- ошибка, если у вас не было достаточно привилегий;
- список доступных параметров и их использования.
то есть: нет параметров,нет партии. Идея заключается в том, что мы можем проанализировать вывод и проверить, получили ли мы что-нибудь, кроме ошибки:
sfc 2>&1 | find /i "/SCANNOW" >nul
вывод ошибки сначала перенаправляется на стандартный вывод, который затем передается в . При этом точка мы должны искать только
>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"&&(
echo admin...
)
еще один способ
fltmc >nul 2>&1 && (
echo has admin permissions
) || (
echo has NOT admin permissions
)
fltmc команда доступна в каждой системе windows с XP, поэтому это должно быть довольно портативным.
еще одно решение проверено на XP,8.1,7 (к сожалению, не работает на всех win10 станки - см. В комментариях.) - есть одна конкретная переменная =:: который представлен только в том случае, если сеанс консоли не имеет прав администратора.Как не так просто создать переменную, которая содержит = в его имя это сравнительно надежный способ проверить разрешение администратора (и довольно быстро, поскольку он не вызывает внешние исполняемые файлы)
setlocal enableDelayedExpansion
set "dv==::"
if defined !dv! (
echo has NOT admin permissions
) else (
echo has admin permissions
)
альтернативное решение:
@echo off
pushd %SystemRoot%
openfiles.exe 1>nul 2>&1
if not %errorlevel% equ 0 (
Echo here you are not administrator!
) else (
Echo here you are administrator!
)
popd
Pause
не только проверить, но и получить права администратора автоматически
он же автоматический UAC для Win 7/8/8.1 ff.: следующее действительно круто с еще одной особенностью: этот фрагмент пакета не только проверяет права администратора, но и получает их автоматически! (и тесты раньше, если вы живете на ОС, способной к UAC.)
С помощью этого трюка вам не нужно больше, чтобы щелкнуть правой кнопкой мыши на вашем пакетном файле"с правами администратора". Если вы забыли, начать его с повышенных прав, UAC появляется автоматически! Более того, сначала он тестируется, если ОС нуждается/предоставляет UAC, поэтому он ведет себя правильно, например, для Win 2000 / XP до Win 8.1 - tested.
@echo off
REM Quick test for Windows generation: UAC aware or not ; all OS before NT4 ignored for simplicity
SET NewOSWith_UAC=YES
VER | FINDSTR /IL "5." > NUL
IF %ERRORLEVEL% == 0 SET NewOSWith_UAC=NO
VER | FINDSTR /IL "4." > NUL
IF %ERRORLEVEL% == 0 SET NewOSWith_UAC=NO
REM Test if Admin
CALL NET SESSION >nul 2>&1
IF NOT %ERRORLEVEL% == 0 (
if /i "%NewOSWith_UAC%"=="YES" (
rem Start batch again with UAC
echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%\getadmin.vbs"
"%temp%\getadmin.vbs"
del "%temp%\getadmin.vbs"
exit /B
)
rem Program will now start again automatically with admin rights!
rem pause
goto :eof
)
фрагмент объединяет некоторые хорошие пакетные шаблоны вместе, особенно (1) Тест администратора в этом потоке Беном Хупером и (2) активация UAC, прочитанная на BatchGotAdmin и процитированная на пакетном сайте robvanderwoude (respect). (3) для идентификации ОС по "шаблону VER | FINDSTR" я просто не нахожу ссылка.)
(относительно некоторых очень незначительных ограничений, когда "NET SESSION" не работает, как указано в другом ответе - не стесняйтесь вставлять другую из этих команд. Для меня работает в безопасном режиме Windows или специальных стандартных служб вниз, и это не важные случаи использования - для некоторых администраторов, возможно,они.)
у меня есть два способа проверки привилегированного доступа, оба довольно надежны и очень портативны почти в каждой версии windows.
1. Метод
set guid=%random%%random%-%random%-%random%-%random%-%random%%random%%random%
mkdir %WINDIR%\%guid%>nul 2>&1
rmdir %WINDIR%\%guid%>nul 2>&1
IF %ERRORLEVEL%==0 (
ECHO PRIVILEGED!
) ELSE (
ECHO NOT PRIVILEGED!
)
Это один из самых надежных методов, из-за его простоты, и поведение этой очень примитивной команды вряд ли изменится. Это не относится к другим встроенным инструментам CLI, таким как Чистая сессия это может быть отключено политиками администратора / сети или командами как fsutils это изменило вывод в Windows 10.
* работает на XP и позднее
2. Метод
REG ADD HKLM /F>nul 2>&1
IF %ERRORLEVEL%==0 (
ECHO PRIVILEGED!
) ELSE (
ECHO NOT PRIVILEGED!
)
иногда вам не нравится идея прикосновения к пользовательскому диску, даже если это так же безобидно, как использование fsutils или создание пустой папки, это недоказуемо, но это может привести к катастрофическому отказу, если что-то пойдет не так. В этом случае вы можете просто проверить в реестре преференции.
для этого вы можете попробовать создать ключ на раздел HKEY_LOCAL_MACHINE используя разрешения по умолчанию, вы получите Доступ Запрещен и
ERRORLEVEL == 1, но если вы работаете как администратор, он будет печатать "команда успешно выполнена" иERRORLEVEL == 0. Поскольку ключ уже существует, он не влияет на реестр. Это, вероятно, самый быстрый способ, и REG есть в течение длительного времени.* это не доступно на pre NT (Win 9X).
* работает на XP и позднее
пример работающего
скрипт, который очищает временную папку
@echo off
:main
echo.
echo. Clear Temp Files script
echo.
call :requirePrivilegies
rem Do something that require privilegies
echo.
del %temp%\*.*
echo. End!
pause>nul
goto :eof
:requirePrivilegies
set guid=%random%%random%-%random%-%random%-%random%-%random%%random%%random%
mkdir %WINDIR%\%guid%>nul 2>&1
rmdir %WINDIR%\%guid%>nul 2>&1
IF NOT %ERRORLEVEL%==0 (
echo ########## ERROR: ADMINISTRATOR PRIVILEGES REQUIRED ###########
echo # This script must be run as administrator to work properly! #
echo # Right click on the script and select "Run As Administrator" #
echo ###############################################################
pause>nul
exit
)
goto :eofследующая попытка создать файл в каталоге Windows. Если это удастся, он удалит его.
copy /b/y NUL %WINDIR%CF2EB6-94E6-4a60-91D8-AB945AE8CF38 >NUL 2>&1
if errorlevel 1 goto:nonadmin
del %WINDIR%CF2EB6-94E6-4a60-91D8-AB945AE8CF38 >NUL 2>&1
:admin
rem here you are administrator
goto:eof
:nonadmin
rem here you are not administrator
goto:eof
обратите внимание, что 06CF2EB6-94E6-4a60-91D8-AB945AE8CF38 является GUID, который был сгенерирован сегодня, и предполагается, что маловероятно конфликтовать с существующим именем файла.
самый чистый способ проверить права администратора с помощью. CMD сценарий, который я нашел, это что-то вроде этого:
@echo off
REM Calling verify with no args just checks the verify flag,
REM we use this for its side effect of setting errorlevel to zero
verify >nul
REM Attempt to read a particular system directory - the DIR
REM command will fail with a nonzero errorlevel if the directory is
REM unreadable by the current process. The DACL on the
REM c:\windows\system32\config\systemprofile directory, by default,
REM only permits SYSTEM and Administrators.
dir %windir%\system32\config\systemprofile >nul 2>nul
REM Use IF ERRORLEVEL or %errorlevel% to check the result
if not errorlevel 1 echo has Admin privs
if errorlevel 1 echo has only User privs
этот метод использует только CMD.exe builtins, поэтому он должен быть очень быстрым. Он также проверяет фактические возможности процесса, а не проверяет наличие SIDs или членства в группах, поэтому эффективное разрешение проверено. И это работает еще в Windows 2003 и XP. Обычные пользовательские процессы или неуровневые процессы завершают работу каталога зондируйте, где как Admin или повышенные процессы преуспевают.
whoami /группы не работают в одном случае. Если вы полностью отключили UAC (а не просто отключили уведомление), и вы начали с приглашения администратора, затем выдал:
runas /trustlevel:0x20000 cmd
вы будете работать без повышения, но выдавать:
whoami /groups
скажет, что вы повышены. Это неправильно. Вот почему это неправильно:
при запуске в этом состоянии, если IsUserAdmin (https://msdn.microsoft.com/en-us/library/windows/desktop/aa376389(В=и 85).аспн) возвращает значение false и UAC полностью отключен, и GetTokenInformation возвращает TokenElevationTypeDefault (http://blogs.msdn.com/b/cjacks/archive/2006/10/24/modifying-the-mandatory-integrity-level-for-a-securable-object-in-windows-vista.aspx) затем в процесс не бег повышен, но whoami /groups утверждает он.
действительно, лучший способ сделать это пакетный файл:
net session >nul 2>nul
net session >nul 2>nul
echo %errorlevel%
вы должны сделать net session дважды, потому что если кто-то сделал at перед рукой, вы получите неправильную информацию.
некоторые серверы отключают службы, необходимые для команды "net session". Это приводит к проверке администратора всегда говорит, что у вас нет прав администратора, когда вы можете иметь.
Edit: copyitright указал, что это ненадежно. Утверждение доступа для чтения с помощью UAC позволит dir добиться успеха. У меня есть немного больше сценария, чтобы предложить другую возможность, но это не только для чтения.
reg query "HKLM\SOFTWARE\Foo" >NUL 2>NUL && goto :error_key_exists
reg add "HKLM\SOFTWARE\Foo" /f >NUL 2>NUL || goto :error_not_admin
reg delete "HKLM\SOFTWARE\Foo" /f >NUL 2>NUL || goto :error_failed_delete
goto :success
:error_failed_delete
echo Error unable to delete test key
exit /b 3
:error_key_exists
echo Error test key exists
exit /b 2
:error_not_admin
echo Not admin
exit /b 1
:success
echo Am admin
старый ответ ниже
предупреждение: неблагонадежные
на основе ряда других хороших ответов здесь и пунктов, поднятых and31415, я обнаружил, что я поклонник следующего:
dir "%SystemRoot%\System32\config\DRIVERS" 2>nul >nul || echo Not Admin
несколько зависимости и быстро.
Примечание.: Проверка с помощью cacls для \system32\config\system всегда будет сбой в WOW64 (например, из %systemroot%\syswow64\cmd.exe / 32 bit Total Commander), поэтому скрипты, которые работают в 32-битной оболочке в 64-битной системе, будут петлять вечно... Лучше было бы проверить права на Prefetch directory:
>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\Prefetch\"
Win XP до 7 протестирован, однако он терпит неудачу в WinPE, как и в Windows 7 install.wim нет такого dir ни cacls.exe
также в winPE и WoW64 не удается проверить с openfiles.exe:
OPENFILES > nul
в Windows 7 он будет errorlevel с "1 "с информацией о том, что"целевая система должна быть 32-битной операционной системой"
обе проверки, вероятно, также не удастся в консоли восстановления.
что работает в Windows XP - 8 32/64 бит, в WOW64 и в WinPE: dir creation tests (если администратор не разбомбил каталог Windows с разрешениями для всех...) и
net session
и
reg add HKLM /F
проверка.
также еще одна заметка в некоторых windows XP (и других версиях, вероятно, тоже, в зависимости от возни администратора) в зависимости от записей реестра, непосредственно вызывающих bat/cmd .сценарий vbs завершится ошибкой с информацией о том, что файлы bat/cmd ни с чем не связаны...
echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%\getadmin.vbs"
cscript "%temp%\getadmin.vbs" //nologo
вызов cmd.exe с параметром файла bat / cmd с другой стороны работает нормально:
echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
echo UAC.ShellExecute "cmd.exe", "/C %~s0", "", "runas", 1 >> "%temp%\getadmin.vbs"
cscript "%temp%\getadmin.vbs" //nologo
буквально десятки ответов в этом и связанных вопросах и в других местах в SE, все из которых являются недостаточными тем или иным образом, ясно показали, что Windows не обеспечивает надежную встроенную консольную утилиту. Итак, пришло время раскатать свой собственный.
следующий код C, основанный на определить, работает ли программа с полными правами администратора, работает в Win2k+1, везде и во всех случаях (UAC, Домены, транзитивные группы...) - потому что делает то же самое, что и сама система, когда проверяет разрешения. Он сигнализирует о результате как с сообщением (которое можно заставить замолчать с помощью переключателя), так и с кодом выхода.
его нужно скомпилировать только один раз, затем вы можете просто скопировать .exe везде - это зависит только от kernel32.dll и advapi32.dll (Я загрузил копию).
chkadmin.c:
#include <malloc.h>
#include <stdio.h>
#include <windows.h>
#pragma comment (lib,"Advapi32.lib")
int main(int argc, char** argv) {
BOOL quiet = FALSE;
DWORD cbSid = SECURITY_MAX_SID_SIZE;
PSID pSid = _alloca(cbSid);
BOOL isAdmin;
if (argc > 1) {
if (!strcmp(argv[1],"/q")) quiet=TRUE;
else if (!strcmp(argv[1],"/?")) {fprintf(stderr,"Usage: %s [/q]\n",argv[0]);return 0;}
}
if (!CreateWellKnownSid(WinBuiltinAdministratorsSid,NULL,pSid,&cbSid)) {
fprintf(stderr,"CreateWellKnownSid: error %d\n",GetLastError());exit(-1);}
if (!CheckTokenMembership(NULL,pSid,&isAdmin)) {
fprintf(stderr,"CheckTokenMembership: error %d\n",GetLastError());exit(-1);}
if (!quiet) puts(isAdmin ? "Admin" : "Non-admin");
return !isAdmin;
}
1MSDN утверждает, что API-интерфейсы XP+, Но это ложный. CheckTokenMembership это 2k+, а другой старше. Последняя ссылка также содержит гораздо более сложный способ, который будет работать даже в NT.
PowerShell кто-нибудь?
param (
[string]$Role = "Administrators"
)
#check for local role
$identity = New-Object Security.Principal.WindowsIdentity($env:UserName)
$principal = New-Object Security.Principal.WindowsPrincipal($identity)
Write-Host "IsInRole('$Role'): " $principal.IsInRole($Role)
#enumerate AD roles and lookup
$groups = $identity::GetCurrent().Groups
foreach ($group in $groups) {
$trans = $group.Translate([Security.Principal.NTAccount]);
if ($trans.Value -eq $Role) {
Write-Host "User is in '$Role' role"
}
}
вот еще один, чтобы добавить в список ;-)
(попытка создания файла в системную папку)
CD.>"%SystemRoot%\System32\Drivers\etc\_"
MODE CON COLS=80 LINES=25
IF EXIST "%SystemRoot%\System32\Drivers\etc\_" (
DEL "%SystemRoot%\System32\Drivers\etc\_"
ECHO Has Admin privileges
) ELSE (
ECHO No Admin privileges
)
на MODE CON повторно инициализирует экран и превосходит любой текст/ошибки при отсутствии разрешения на запись в расположение системы.
альтернатива: используйте внешнюю утилиту, предназначенную для этой цели, например,IsAdmin.exe (неограниченное бесплатное по).
выход код:
0 - текущий пользователь не является членом группы "администраторы"
1-текущий пользователь-член администраторов и работает с повышенными
2-текущий пользователь-член администраторов, но не работает с повышенными
@echo off
ver
set ADMDIR=C:\Users\Administrator
dir %ADMDIR% 1>nul 2>&1
echo [%errorlevel%] %ADMDIR%
if "%errorlevel%"=="0" goto main
:: further checks e.g. try to list the contents of admin folders
:: wherever they are stored on older versions of Windows
echo You need administrator privileges to run this script: %0
echo Exiting...
exit /b
:main
echo Executing with Administrator privileges...
@echo off
:start
set randname=%random%%random%%random%%random%%random%
md \windows\%randname% 2>nul
if %errorlevel%==0 (echo You're elevated!!!
goto end)
if %errorlevel%==1 (echo You're not elevated :(:(
goto end)
goto start
:end
rd \windows\%randname% 2>nul
pause >nul
я объясню код строка за строкой:
@echo off
пользователи будут раздражены многими более чем 1 строками без этого.
:start
укажите, где начинается программа.
set randname=%random%%random%%random%%random%%random%
задайте имя файла создаваемого каталога.
md \windows\%randname% 2>nul
создает каталог на <DL>:\Windows (заменить
- буквой диска).
if %errorlevel%==0 (echo You're elevated!!!
goto end)
если переменная среды ERRORLEVEL равна нулю, то успех Эха сообщение.
Идти до конца (не дальше).
if %errorlevel%==1 (echo You're not elevated :(:(
goto end)
если ERRORLEVEL Один, Эхо сообщение об ошибке и перейти к концу.
goto start
если имя файла уже существует, воссоздайте папку (в противном случае goto end команда не позволит этому работать).
:end
укажите конечную точку
rd \windows\%randname% 2>nul
удалить созданный каталог.
pause >nul
пауза, чтобы пользователь мог видеть сообщение.
Примечание: элемент >nul и 2>nul фильтруют выходные данные этих команд.
Я думаю, что самый простой способ - попытаться изменить системную дату (для этого требуются права администратора):
date %date%
if errorlevel 1 (
echo You have NOT admin rights
) else (
echo You have admin rights
)
если %date% переменные могут включать в себя день недели, просто получить дату из последней части :
for /F "delims=" %%a in ('date ^<NUL') do set "today=%%a" & goto break
:break
for %%a in (%today%) do set "today=%%a"
date %today%
if errorlevel 1 ...
Я нашел пользователя, который может использовать net session даже если они не являются администраторами. Я не стал выяснять почему. Мой обходной путь-проверить, может ли пользователь создать папку в папке windows.
вот мой код:
::::::: :testadmin function START :::::::
:: this function tests if current user is admin. results are returned as "true" or "false" in %isadmin%
:: Test "%isadmin" after calling this function
:: Usage: "call :testadmin"
echo Your script entered the :testadmin function by error. Usage: "call :testadmin"
pause
exit /b
:testadmin
rd %windir%\local_admin_test > nul 2> nul
md %windir%\local_admin_test > nul 2> nul
if [%errorlevel%]==[0] set isadmin=true
if not [%errorlevel%]==[0] set isadmin=false
rd %windir%\local_admin_test > nul 2> nul
if [%isadmin%]==[true] (
echo User IS admin.
)
if not [%isadmin%]==[true] (
echo User IS NOT admin.
timeout 30
:: or use "pause" instead of "timeout"
exit /b
)
exit /b
:::::: :testadmin function END ::::::
вот мои 2 цента:
мне нужен пакет для запуска в среде домена во время процесса входа пользователя в систему, в среде "workroom", видя, что пользователи придерживаются политики "блокировки" и ограниченного представления (в основном распространяемого через наборы GPO).
набор GPO домена применяется перед скриптом входа, связанным с пользователем AD Создание сценария входа в GPO было слишком зрелым, поскольку" новый "профиль пользователей не был создан/загружен/или готов вовремя применить" удалить и / или Pin " панель задач и пункты меню Пуск vbscript + добавить некоторые локальные файлы.
например: предлагаемая среда профиля "по умолчанию-пользователь"требует".URL-адреса' (.LNK) ярлык, помещенный в " %ProgramData%\Microsoft\Windows\Start Menu\Programs*MyNewOWA.url*", и "C:\Users\Public\Desktop \ * MyNewOWA.url* " местоположения, среди других элементов
пользователи имеют несколько компьютеров в домене, где только эти установленные ПК "workroom" требуют этих политик.
эти папки требовать прав "администратора" для изменения, и хотя "пользователь домена" является частью локальной группы "Admin" - UAC был следующей проблемой.
найдены различные адаптации и объединены здесь. У меня есть некоторые пользователи с устройствами BYOD, а также, которые требуют других файлов с проблемами perm. Не тестировали на XP (немного слишком старая ОС), но код присутствует, хотелось бы откатить.
:: ------------------------------------------------------------------------
:: You have a royalty-free right to use, modify, reproduce and distribute
:: the Sample Application Files (and/or any modified version) in any way
:: you find useful, provided that you agree that the author provides
:: no warranty, obligations or liability for any Sample Application Files.
:: ------------------------------------------------------------------------
:: ********************************************************************************
::* Sample batch script to demonstrate the usage of RunAs.cmd
::*
::* File: RunAs.cmd
::* Date: 12/10/2013
::* Version: 1.0.2
::*
::* Main Function: Verifies status of 'bespoke' Scripts ability to 'Run As - Admin'
::* elevated privileges and without UAC prompt
::*
::* Usage: Run RunAs.cmd from desired location
::* Bespoke.cmd will be created and called from C:\Utilities location
::* Choose whether to delete the script after its run by removing out-comment
::* (::) before the 'Del /q Bespoke.cmd' command
::*
::* Distributed under a "GNU GPL" type basis.
::*
::* Revisions:
::* 1.0.0 - 08/10/2013 - Created.
::* 1.0.1 - 09/10/2013 - Include new path creation.
::* 1.0.2 - 12/10/2013 - Modify/shorten UAC disable process for Admins
::*
::* REFERENCES:
::* Sample "*.inf" secpol.msc export from Wins 8 x64 @ bottom,
::* Would be default but for 'no password complexities'
::*
::* To recreate UAC default:
::* Goto:Secpol, edit out Exit, modify .inf set, export as "Wins8x64.inf"
::* and import using secedit cmd provided
::*
:: ********************************************************************************
@echo off & cls
color 9F
Title RUN AS
Setlocal
:: Verify local folder availability for script
IF NOT EXIST C:\Utilities (
mkdir C:\Utilities & GOTO:GenBatch
) ELSE (
Goto:GenBatch
)
:GenBatch
c:
cd\
cd C:\Utilities
IF NOT EXIST C:\Utilities\Bespoke.cmd (
GOTO:CreateBatch
) ELSE (
Goto:RunBatch
)
:CreateBatch
Echo. >Bespoke.cmd
Echo :: ------------------------------------------------------------------------ >>Bespoke.cmd
Echo :: You have a royalty-free right to use, modify, reproduce and distribute >>Bespoke.cmd
Echo :: the Sample Application Files (and/or any modified version) in any way >>Bespoke.cmd
Echo :: you find useful, provided that you agree that the author provides >>Bespoke.cmd
Echo :: has no warranty, obligations or liability for any Sample Application Files. >>Bespoke.cmd
Echo :: ------------------------------------------------------------------------ >>Bespoke.cmd
Echo. >>Bespoke.cmd
Echo :: ******************************************************************************** >>Bespoke.cmd
Echo ::* Sample batch script to demonstrate the usage of Bespoke.cmd >>Bespoke.cmd
Echo ::* >>Bespoke.cmd
Echo ::* File: Bespoke.cmd >>Bespoke.cmd
Echo ::* Date: 10/10/2013 >>Bespoke.cmd
Echo ::* Version: 1.0.1 >>Bespoke.cmd
Echo ::* >>Bespoke.cmd
Echo ::* Main Function: Allows for running of Bespoke batch with elevated rights and no future UAC 'pop-up' >>Bespoke.cmd
Echo ::* >>Bespoke.cmd
Echo ::* Usage: Called and created by RunAs.cmd run from desired location >>Bespoke.cmd
Echo ::* Found in the C:\Utilities folder >>Bespoke.cmd
Echo ::* >>Bespoke.cmd
Echo ::* Distributed under a "GNU GPL" type basis. >>Bespoke.cmd
Echo ::* >>Bespoke.cmd
Echo ::* Revisions: >>Bespoke.cmd
Echo ::* 1.0.0 - 09/10/2013 - Created. >>Bespoke.cmd
Echo ::* 1.0.1 - 10/10/2013 - Modified, added ability to temp disable UAC pop-up warning. >>Bespoke.cmd
Echo ::* >>Bespoke.cmd
Echo ::* REFERENCES: >>Bespoke.cmd
Echo ::* >>Bespoke.cmd
Echo ::* Exit code (%%^ErrorLevel%%) 0 - No errors have occurred, i.e. immediate previous command ran successfully >>Bespoke.cmd
Echo ::* Exit code (%%^ErrorLevel%%) 1 - Errors occurred, i.e. immediate previous command ran Unsuccessfully >>Bespoke.cmd
Echo ::* >>Bespoke.cmd
Echo ::* MS OS version check >>Bespoke.cmd
Echo ::* http://msdn.microsoft.com/en-us/library/windows/desktop/ms724833%28v=vs.85%29.aspx >>Bespoke.cmd
Echo ::* >>Bespoke.cmd
Echo ::* Copying to certain folders and running certain apps require elevated perms >>Bespoke.cmd
Echo ::* Even with 'Run As ...' perms, UAC still pops up. >>Bespoke.cmd
Echo ::* >>Bespoke.cmd
Echo ::* To run a script or application in the Windows Shell >>Bespoke.cmd
Echo ::* http://ss64.com/vb/shellexecute.html >>Bespoke.cmd
Echo ::* >>Bespoke.cmd
Echo ::* Machines joined to a corporate Domain should have the UAC feature set from, and >>Bespoke.cmd
Echo ::* pushed out from a DC GPO policy >>Bespoke.cmd
Echo ::* e.g.: 'Computer Configuration - Policies - Windows Settings - Security Settings - >>Bespoke.cmd
Echo ::* Local Policies/Security Options - User Account Control - >>Bespoke.cmd
Echo ::* Policy: User Account Control: Behavior of the elevation prompt for administrators >>Bespoke.cmd
Echo ::* in Admin Approval Mode Setting: Elevate without prompting >>Bespoke.cmd
Echo ::* >>Bespoke.cmd
Echo :: ******************************************************************************** >>Bespoke.cmd
Echo.>>Bespoke.cmd
Echo @Echo off ^& cls>>Bespoke.cmd
Echo color 9F>>Bespoke.cmd
Echo Title RUN AS ADMIN>>Bespoke.cmd
Echo Setlocal>>Bespoke.cmd
Echo.>>Bespoke.cmd
Echo Set "_OSVer=">>Bespoke.cmd
Echo Set "_OSVer=UAC">>Bespoke.cmd
Echo VER ^| FINDSTR /IL "5." ^>NUL>>Bespoke.cmd
Echo IF %%^ErrorLevel%%==0 SET "_OSVer=PreUAC">>Bespoke.cmd
Echo IF %%^_OSVer%%==PreUAC Goto:XPAdmin>>Bespoke.cmd
Echo.>>Bespoke.cmd
Echo :: Check if machine part of a Domain or within a Workgroup environment >>Bespoke.cmd
Echo Set "_DomainStat=">>Bespoke.cmd
Echo Set "_DomainStat=%%USERDOMAIN%%">>Bespoke.cmd
Echo If /i %%^_DomainStat%% EQU %%^computername%% (>>Bespoke.cmd
Echo Goto:WorkgroupMember>>Bespoke.cmd
Echo ) ELSE (>>Bespoke.cmd
Echo Set "_DomainStat=DomMember" ^& Goto:DomainMember>>Bespoke.cmd
Echo )>>Bespoke.cmd
Echo.>>Bespoke.cmd
Echo :WorkgroupMember>>Bespoke.cmd
Echo :: Verify status of Secpol.msc 'ConsentPromptBehaviorAdmin' Reg key >>Bespoke.cmd
Echo reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v ConsentPromptBehaviorAdmin ^| Find /i "0x0">>Bespoke.cmd
Echo.>>Bespoke.cmd
Echo If %%^ErrorLevel%%==0 (>>Bespoke.cmd
Echo Goto:BespokeBuild>>Bespoke.cmd
Echo ) Else (>>Bespoke.cmd
Echo Goto:DisUAC>>Bespoke.cmd
Echo )>>Bespoke.cmd
Echo :DisUAC>>Bespoke.cmd
Echo :XPAdmin>>Bespoke.cmd
Echo :DomainMember>>Bespoke.cmd
Echo :: Get ADMIN Privileges, Start batch again, modify UAC ConsentPromptBehaviorAdmin reg if needed >>Bespoke.cmd
Echo ^>nul ^2^>^&1 ^"^%%^SYSTEMROOT%%\system32\cacls.exe^"^ ^"^%%^SYSTEMROOT%%\system32\config\system^">>Bespoke.cmd
Echo.>>Bespoke.cmd
Echo IF ^'^%%^Errorlevel%%^'^ NEQ '0' (>>Bespoke.cmd
Echo echo Set objShell = CreateObject^^("Shell.Application"^^) ^> ^"^%%^temp%%\getadmin.vbs^">>Bespoke.cmd
Echo echo objShell.ShellExecute ^"^%%~s0^"^, "", "", "runas", 1 ^>^> ^"^%%^temp%%\getadmin.vbs^">>Bespoke.cmd
Echo ^"^%%^temp%%\getadmin.vbs^">>Bespoke.cmd
Echo del ^"^%%^temp%%\getadmin.vbs^">>Bespoke.cmd
Echo exit /B>>Bespoke.cmd
Echo ) else (>>Bespoke.cmd
Echo pushd ^"^%%^cd%%^">>Bespoke.cmd
Echo cd /d ^"^%%~dp0^">>Bespoke.cmd
Echo @echo off>>Bespoke.cmd
Echo )>>Bespoke.cmd
Echo.>>Bespoke.cmd
Echo IF %%^_OSVer%%==PreUAC Goto:BespokeBuild>>Bespoke.cmd
Echo IF %%^_DomainStat%%==DomMember Goto:BespokeBuild>>Bespoke.cmd
Echo.>>Bespoke.cmd
Echo reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 0 /f>>Bespoke.cmd
Echo.>>Bespoke.cmd
Echo :BespokeBuild>>Bespoke.cmd
Echo :: Add your script requiring elevated perm and no UAC below: >>Bespoke.cmd
Echo.>>Bespoke.cmd
:: PROVIDE BRIEF EXPLINATION AS TO WHAT YOUR SCRIPT WILL ACHIEVE
Echo ::
:: ADD THE "PAUSE" BELOW ONLY IF YOU SET TO SEE RESULTS FROM YOUR SCRIPT
Echo Pause>>Bespoke.cmd
Echo Goto:EOF>>Bespoke.cmd
Echo :EOF>>Bespoke.cmd
Echo Exit>>Bespoke.cmd
Timeout /T 1 /NOBREAK >Nul
:RunBatch
call "Bespoke.cmd"
:: Del /F /Q "Bespoke.cmd"
:Secpol
:: Edit out the 'Exit (rem or ::) to run & import default wins 8 security policy provided below
Exit
:: Check if machine part of a Domain or within a Workgroup environment
Set "_DomainStat="
Set _DomainStat=%USERDOMAIN%
If /i %_DomainStat% EQU %computername% (
Goto:WorkgroupPC
) ELSE (
Echo PC Member of a Domain, Security Policy determined by GPO
Pause
Goto:EOF
)
:WorkgroupPC
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v ConsentPromptBehaviorAdmin | Find /i "0x5"
Echo.
If %ErrorLevel%==0 (
Echo Machine already set for UAC 'Prompt'
Pause
Goto:EOF
) else (
Goto:EnableUAC
)
:EnableUAC
IF NOT EXIST C:\Utilities\Wins8x64Def.inf (
GOTO:CreateInf
) ELSE (
Goto:RunInf
)
:CreateInf
:: This will create the default '*.inf' file and import it into the
:: local security policy for the Wins 8 machine
Echo [Unicode]>>Wins8x64Def.inf
Echo Unicode=yes>>Wins8x64Def.inf
Echo [System Access]>>Wins8x64Def.inf
Echo MinimumPasswordAge = ^0>>Wins8x64Def.inf
Echo MaximumPasswordAge = ^-1>>Wins8x64Def.inf
Echo MinimumPasswordLength = ^0>>Wins8x64Def.inf
Echo PasswordComplexity = ^0>>Wins8x64Def.inf
Echo PasswordHistorySize = ^0>>Wins8x64Def.inf
Echo LockoutBadCount = ^0>>Wins8x64Def.inf
Echo RequireLogonToChangePassword = ^0>>Wins8x64Def.inf
Echo ForceLogoffWhenHourExpire = ^0>>Wins8x64Def.inf
Echo NewAdministratorName = ^"^Administrator^">>Wins8x64Def.inf
Echo NewGuestName = ^"^Guest^">>Wins8x64Def.inf
Echo ClearTextPassword = ^0>>Wins8x64Def.inf
Echo LSAAnonymousNameLookup = ^0>>Wins8x64Def.inf
Echo EnableAdminAccount = ^0>>Wins8x64Def.inf
Echo EnableGuestAccount = ^0>>Wins8x64Def.inf
Echo [Event Audit]>>Wins8x64Def.inf
Echo AuditSystemEvents = ^0>>Wins8x64Def.inf
Echo AuditLogonEvents = ^0>>Wins8x64Def.inf
Echo AuditObjectAccess = ^0>>Wins8x64Def.inf
Echo AuditPrivilegeUse = ^0>>Wins8x64Def.inf
Echo AuditPolicyChange = ^0>>Wins8x64Def.inf
Echo AuditAccountManage = ^0>>Wins8x64Def.inf
Echo AuditProcessTracking = ^0>>Wins8x64Def.inf
Echo AuditDSAccess = ^0>>Wins8x64Def.inf
Echo AuditAccountLogon = ^0>>Wins8x64Def.inf
Echo [Registry Values]>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SecurityLevel=4,^0>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SetCommand=4,^0>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount=1,"10">>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ForceUnlockLogon=4,^0>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning=4,5>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ScRemoveOption=1,"0">>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin=4,5>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser=4,3>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD=4,1>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName=4,^0>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection=4,1>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA=4,1>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths=4,1>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle=4,^0>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization=4,1>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken=4,^0>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption=1,"">>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText=7,>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop=4,1>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ScForceOption=4,^0>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon=4,1>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\UndockWithoutLogon=4,1>>Wins8x64Def.inf
Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ValidateAdminCodeSignatures=4,^0>>Wins8x64Def.inf
Echo MACHINE\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled=4,^0>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects=4,^0>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail=4,^0>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4,^0>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4,^0>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled=4,^0>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,^0>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3,^0>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse=4,1>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec=4,536870912>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec=4,536870912>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,^0>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM=4,1>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4,^0>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine=7,System\CurrentControlSet\Control\ProductOptions,System\CurrentControlSet\Control\Server Applications,Software\Microsoft\Windows NT\CurrentVersion>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine=7,System\CurrentControlSet\Control\Print\Printers,System\CurrentControlSet\Services\Eventlog,Software\Microsoft\OLAP Server,Software\Microsoft\Windows NT\CurrentVersion\Print,Software\Microsoft\Windows NT\CurrentVersion\Windows,System\CurrentControlSet\Control\ContentIndex,System\CurrentControlSet\Control\Terminal Server,System\CurrentControlSet\Control\Terminal Server\UserConfig,System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration,Software\Microsoft\Windows NT\CurrentVersion\Perflib,System\CurrentControlSet\Services\SysmonLog>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive=4,1>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown=4,^0>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4,1>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Control\Session Manager\SubSystems\optional=7,Posix>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect=4,15>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogOff=4,1>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,^0>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\NullSessionPipes=7,>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature=4,^0>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess=4,1>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword=4,^0>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature=4,1>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature=4,^0>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Services\LDAP\LDAPClientIntegrity=4,1>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange=4,^0>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge=4,30>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal=4,1>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey=4,1>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel=4,1>>Wins8x64Def.inf
Echo MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel=4,1>>Wins8x64Def.inf
Echo [Privilege Rights]>>Wins8x64Def.inf
Echo SeNetworkLogonRight = *S-1-1-0,*S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551>>Wins8x64Def.inf
Echo SeBackupPrivilege = *S-1-5-32-544,*S-1-5-32-551>>Wins8x64Def.inf
Echo SeChangeNotifyPrivilege = *S-1-1-0,*S-1-5-19,*S-1-5-20,*S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551,*S-1-5-90-^0>>Wins8x64Def.inf
Echo SeSystemtimePrivilege = *S-1-5-19,*S-1-5-32-544>>Wins8x64Def.inf
Echo SeCreatePagefilePrivilege = *S-1-5-32-544>>Wins8x64Def.inf
Echo SeDebugPrivilege = *S-1-5-32-544>>Wins8x64Def.inf
Echo SeRemoteShutdownPrivilege = *S-1-5-32-544>>Wins8x64Def.inf
Echo SeAuditPrivilege = *S-1-5-19,*S-1-5-20>>Wins8x64Def.inf
Echo SeIncreaseQuotaPrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544>>Wins8x64Def.inf
Echo SeIncreaseBasePriorityPrivilege = *S-1-5-32-544>>Wins8x64Def.inf
Echo SeLoadDriverPrivilege = *S-1-5-32-544>>Wins8x64Def.inf
Echo SeBatchLogonRight = *S-1-5-32-544,*S-1-5-32-551,*S-1-5-32-559>>Wins8x64Def.inf
Echo SeServiceLogonRight = *S-1-5-80-0,*S-1-5-83-^0>>Wins8x64Def.inf
Echo SeInteractiveLogonRight = Guest,*S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551>>Wins8x64Def.inf
Echo SeSecurityPrivilege = *S-1-5-32-544>>Wins8x64Def.inf
Echo SeSystemEnvironmentPrivilege = *S-1-5-32-544>>Wins8x64Def.inf
Echo SeProfileSingleProcessPrivilege = *S-1-5-32-544>>Wins8x64Def.inf
Echo SeSystemProfilePrivilege = *S-1-5-32-544,*S-1-5-80-3139157870-2983391045-3678747466-658725712-1809340420>>Wins8x64Def.inf
Echo SeAssignPrimaryTokenPrivilege = *S-1-5-19,*S-1-5-20>>Wins8x64Def.inf
Echo SeRestorePrivilege = *S-1-5-32-544,*S-1-5-32-551>>Wins8x64Def.inf
Echo SeShutdownPrivilege = *S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551>>Wins8x64Def.inf
Echo SeTakeOwnershipPrivilege = *S-1-5-32-544>>Wins8x64Def.inf
Echo SeDenyNetworkLogonRight = Guest>>Wins8x64Def.inf
Echo SeDenyInteractiveLogonRight = Guest>>Wins8x64Def.inf
Echo SeUndockPrivilege = *S-1-5-32-544,*S-1-5-32-545>>Wins8x64Def.inf
Echo SeManageVolumePrivilege = *S-1-5-32-544>>Wins8x64Def.inf
Echo SeRemoteInteractiveLogonRight = *S-1-5-32-544,*S-1-5-32-555>>Wins8x64Def.inf
Echo SeImpersonatePrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544,*S-1-5-6>>Wins8x64Def.inf
Echo SeCreateGlobalPrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544,*S-1-5-6>>Wins8x64Def.inf
Echo SeIncreaseWorkingSetPrivilege = *S-1-5-32-545,*S-1-5-90-^0>>Wins8x64Def.inf
Echo SeTimeZonePrivilege = *S-1-5-19,*S-1-5-32-544,*S-1-5-32-545>>Wins8x64Def.inf
Echo SeCreateSymbolicLinkPrivilege = *S-1-5-32-544,*S-1-5-83-^0>>Wins8x64Def.inf
Echo [Version]>>Wins8x64Def.inf
Echo signature="$CHICAGO$">>Wins8x64Def.inf
Echo Revision=1>>Wins8x64Def.inf
:RunInf
:: Import 'Wins8x64Def.inf' with ADMIN Privileges, to modify UAC ConsentPromptBehaviorAdmin reg
>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%%\system32\config\system"
IF '%Errorlevel%' NEQ '0' (
echo Set objShell = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
echo objShell.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%\getadmin.vbs"
"%temp%%\getadmin.vbs"
del "%temp%\getadmin.vbs"
exit /B
Secedit /configure /db secedit.sdb /cfg C:\Utilities\Wins8x64Def.inf /overwrite
Goto:CheckUAC
) else (
Secedit /configure /db secedit.sdb /cfg C:\Utilities\Wins8x64Def.inf /overwrite
@echo off
)
:CheckUAC
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v ConsentPromptBehaviorAdmin | Find /i "0x5"
Echo.
If %ErrorLevel%==0 (
Echo ConsentPromptBehaviorAdmin set to 'Prompt'
Pause
Del /Q C:\Utilities\Wins8x64Def.inf
Goto:EOF
) else (
Echo ConsentPromptBehaviorAdmin NOT set to default
Pause
)
ENDLOCAL
:EOF
Exit
доменные ПК должны управляться как можно больше наборами GPO. Рабочая Группа / Автономная машины могут управляться этим сценарием.
помните, что приглашение UAC появится по крайней мере один раз с ПК рабочей группы BYOD (как только потребуется первое повышение до "admin perms"), но поскольку Локальная политика безопасности изменена для использования администратором с этого момента, всплывающие окна исчезнут.
доменный ПК должен иметь политику GPO "ConsentPromptBehaviorAdmin", установленную в вашей" уже "созданной политике" блокировки "-как объясняется в сценарии "ссылки" раздел.
снова запустите secedit.exe импорт по умолчанию".inf 'файл, если вы застряли в целом" к ОАК или не к ОАК " дебаты : -).
btw: @boileau Проверьте свою неудачу на:
>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
запустив только " %SYSTEMROOT%\system32\cacls.exe " или "%SYSTEMROOT%\system32\config\system " или оба из командной строки - повышено или нет, проверьте результат по всем направлениям.
другой способ сделать это.
REM # # # # CHECKING OR IS STARTED AS ADMINISTRATOR # # # # #
FSUTIL | findstr /I "volume" > nul&if not errorlevel 1 goto Administrator_OK
cls
echo *******************************************************
echo *** R U N A S A D M I N I S T R A T O R ***
echo *******************************************************
echo.
echo.
echo Call up just as the Administrator. Abbreviation can be done to the script and set:
echo.
echo Shortcut ^> Advanced ^> Run as Administrator
echo.
echo.
echo Alternatively, a single run "Run as Administrator"
echo or in the Schedule tasks with highest privileges
pause > nul
goto:eof
:Administrator_OK
REM Some next lines code ...