使用 SCCM CMPivot 查询查找本地管理员帐户

在这篇文章中，我将向您展示如何使用 SCCM CMPivot 查询查找本地管理员帐户。我们将对 SCCM 中的设备集合运行 CMPivot 查询，以查找本地管理员帐户。

在企业环境中，查找本地管理员帐户始终是一个挑战。将用户添加到本地管理员组将使他们能够完全控制设备。当每个用户都是本地管理员组的成员时，当您发现笔记本电脑上安装了不需要的软件时，您应该不会感到惊讶。

CMPivot 是随 SCCM 1806 一起启动的新控制台内实用程序，它提供对环境中设备的实时状态的访问。它立即对目标集合中所有当前连接的设备运行查询并返回结果。您可以在工具中过滤和分组这些数据。通过提供来自在线客户端的实时数据，您可以更快地回答业务问题、解决问题并响应安全事件。您可以在 Microsoft 文档中阅读有关 CMPivot 的更多信息。

我为 SCCM 管理员提供了一些 CMPivot 查询的好示例，如下所示：

• 使用 SCCM CMPivot 查询查找最近使用的应用程序
• 使用 CMPivot 查询在 SCCM 中查找 WSUS 服务器详细信息
• 使用 SCCM CMPivot 查询轻松查找 Dot Net 版本
• 用于查找 TPM 状态和详细信息的 CMPivot 查询
• 使用 CMPivot 查询查找 Windows 11 版本

我们将在包含 Windows 10 设备的设备集合上运行 CMPivot 查询。您还可以在 Windows 11 计算机上运行查询来获取本地管理员帐户。请记住，当您运行 CMPivot 查询时，设备必须在线才能检索其本地管理员帐户。查询输出将让您知道设备是否不可用或无法访问。

我手动创建了一个名为 Test 的帐户，并将其添加到我的一台 Windows 10 设备上的本地管理员组中。我的收藏中有四台这样的设备。在您的生产中，您可以直接运行 SCCM CMPivot 查询并跳过创建本地管理员帐户的这一步。我这样做只是为了测试目的。让我们检查一下我运行的查找本地管理员帐户的 CMPivot 查询是否返回测试帐户。

使用 SCCM CMPivot 查询查找本地管理员帐户

让我们在 Windows 10 和 11 设备上使用 SCCM CMPivot 查询查找本地管理员帐户。

• 启动配置管理器控制台。
• 导航到资产和合规性 > 概述 > 设备集合。
• 右键单击 Windows 10 设备集合，然后单击启动 CMPivot。

CMPivot 工具启动。使用以下 SCCM CMPivot 查询查找本地管理员帐户。输入查询并点击“运行查询”。

Administrators | where Name !contains 'Administrator' and Name !contains 'Domain Admins'

在上面的查询中，我们找到属于管理员组成员的本地管理员帐户，但其名称不包含管理员或域管理员。这是有道理的，因为加入域的每台计算机都安装了域管理员组。因此，在我们的查询中排除这两个帐户将为我们提供准确的本地管理员帐户。

运行此查询后，在输出中，您可以看到它列出了带有设备名称的测试帐户。主要来源是本地的，这意味着帐户是在计算机本地创建的。由于我的实验室规模较小，因此我只得到了一些结果。当您在生产中运行相同的查询时，您肯定会在输出中看到许多设备。

导出 CMPivot 查询输出

当 CMPivot 查询输出中有许多设备，并且系统要求您导出整个列表时，您可以轻松导出数据。在 CMPivot 工具的右上角，您有一个导出选项。单击导出选项，然后从下拉列表中选择结果到文件。结果也可以复制到剪贴板。这样，您可以轻松地将本地管理员帐户导出到文件并通过电子邮件发送。