Trabalho em uma pequena organização sem fins lucrativos com cerca de 55 desktops executando o Windows XP Pro. O controlador de domínio está executando o Windows Server 2003. Eu tenho uma pergunta em duas partes (observe que sou um pouco mais novo quando se trata de administração de rede).
Parte 1: Existe alguma maneira simples de determinar quais contas estão logadas com direitos de administrador?
Parte 2: Existe uma maneira de remover os direitos de administrador dos usuários sem se sentar em cada máquina?
Obrigado por considerar minhas perguntas.
Para a parte 2, você pode criar uma Política de Grupo de grupos restritos e usá-la para impor a associação do grupo Administradores local nas estações de trabalho. Vincule esse GPO a uma OU alta o suficiente no AD para que todas as estações de trabalho estejam abaixo dela e especifique um filtro WMI para o GPO, para que ele se aplique somente às estações de trabalho do Windows XP.
Você provavelmente não precisará da parte 1 se implementar a parte 2.
Um método menos tecnológico para atingir o número 2 é extrair o compmgmt.msc da caixa de execução e conectar-se às outras estações de trabalho por meio do nome do host ou IP. Apenas um pouco melhor do que sentar em sua mesa, e a mudança não terá efeito, é claro, até que eles se desconectem, mas útil se você não puder usar o GP.
Você pode obter as informações em # 1 por script, o que for melhor para você - vbscript, powershell, perl. Um pouco de googling criativo fornece um código de amostra.
Para uma maneira rápida de ver quais contas estão atualmente conectadas em cada máquina, pegue uma cópia de loggedon2 (pesquise no Google dezenas de fontes de download diferentes).
Ambos 1 e 2 podem ser feitos através de scripts. Eu não tenho nenhum link acessível, mas com um pouco de pesquisa você deve encontrar alguns exemplos de gerenciamento remoto de contas de usuário através de uma variedade de linguagens de script. Algumas que eu vi no passado são muito criativas.
A maneira mais fácil de verificar se você é admin é clicar duas vezes no relógio na bandeja do sistema. Somente administradores podem alterar a hora do sistema. Se o TCP IP estiver conectado tente
dir \%computername%\c$
Novamente, apenas os administradores podem navegar para os compartilhamentos c $. O% computername% representa o nome da máquina em que o código está sendo executado e pode ser usado em scripts com o código de retorno errorlevel.