轻松找到所有计算机上的本地管理员

在本文中，我将向您展示如何查找在本地和远程计算机上具有本地管理员权限的用户。

第一个选项是使用名为本地管理报告的 GUI 工具。如果您不想使用第三方 Active Directory 工具，那么我将向您展示使用 PowerShell 的第二个选项。

具有本地管理员权限的用户可以完全控制本地计算机。这允许用户安装不需要的软件、更改计算机设置，并使病毒和恶意软件更容易安装。它还使黑客更容易控制您的计算机。

在 Microsoft 漏洞报告中，他们发现 85% 的关键漏洞可以通过删除管理员权限来缓解。

什么是本地管理员？

在本地计算机上，有一个名为“管理员”的组。该本地组的用户将拥有本地计算机的管理员权限。您可以通过转到计算机管理 -> 本地用户和组 -> 组来查看该组

在上面的屏幕截图中，您可以看到我的本地管理员组中有四名成员。其中两个成员是域组（ADPRO\域管理员和 ADPRO\域用户）。域管理员和本地管理员帐户属于该组是正常的。

域用户不应属于该组。这意味着域中的每个用户都拥有计算机的完全管理权限。

让我们看看两种寻找具有本地管理员权限的用户的方法。

方法 1：使用 AD Pro Toolkit 查找本地管理员权限

我将向您展示的第一种方法是本地管理报告工具。这是 AD Pro 工具包中 13 个工具之一。该工具可以非常轻松地扫描计算机以查找本地管理员。

要求：

1. AD Pro Toolkit - 您可以在此处下载免费试用版。
2. 需要在 Windows 防火墙设置上允许 WMI。如果您已阻止此功能，则可以使用组策略在所有计算机上打开此功能。

第 1 步：打开工具包

在“工具”下选择“本地管理员报告”

第 2 步：选择搜索选项

接下来，选择要扫描的计算机。您可以扫描整个域、选择 OU/组或搜索计算机对象。

第 3 步：点击“运行”

现在只需单击运行按钮即可。结果将显示在报告部分。

您可以在上面的屏幕截图中看到，我有多个用户和组，它们是多台计算机上本地管理员组的成员。主要来源列将告诉您该帐户是本地帐户还是域帐户。

第 3 步：将结果导出到 CSV 文件。

要导出，只需单击导出按钮，选择格式，然后选择“导出所有行”

现在您将获得所有计算机上所有本地管理员的报告。在下面的屏幕截图中，我突出显示了一些不应具有管理员权限的帐户。我需要调查这些计算机。

获取所有本地组成员

默认情况下，此工具仅获取管理员组的成员。如果您想获取所有本地组的报告，请选择“显示所有组”框。

这是我网络上几台计算机的屏幕截图。

免费试用本地管理报告，请在此处下载副本。

方法 2：使用 PowerShell 查找本地管理员权限

要使用 PowerShell 查找本地管理员，您可以使用 Get-LocalGroupMember 命令。

下面是在本地计算机上运行的示例

Get-LocalGroupMember -Group "Administrators"

上面的例子是在本地计算机上运行命令。要在远程计算机上运行，您可以使用invoke-命令。要使此命令正常工作，您需要启用 PowerShell 远程处理。默认情况下它是禁用的。

您可以使用命令 Enable-PSRemoting 启用 PowerShell 远程处理。您需要使用组策略或其他部署方法在所有计算机上启用。

启用 PowerShell 远程处理后，您可以使用此命令获取远程计算机上的本地管理员。

Invoke-Command -ComputerName pc2 -ScriptBlock{Get-LocalGroupMember -Name 'Administrators'}

要在多台计算机上运行此命令，只需用逗号分隔它们即可。以下是在主机名为 PC1 和 PC2 的计算机上运行此命令的示例。

Invoke-Command -ComputerName pc1, pc2 -ScriptBlock{Get-LocalGroupMember -Name 'Administrators'}

您可以在上面的屏幕截图中看到输出并不理想，需要一些额外的工作。这就是我创建本地管理员报告工具的原因，它使本地管理员扫描多台计算机变得非常容易，并且输出易于阅读。

删除本地管理员权限

我刚刚向您展示了两种查找管理员权限的方法。现在您需要识别不需要这些权限的用户并将其删除。

删除本地管理员权限的最佳方法是使用组策略和受限组。受限组允许您集中管理域中所有计算机上的本地组。您还可以定位特定计算机或 OU，而不是整个域。

有关详细信息，请参阅文章使用组策略从本地管理员组中删除用户。