Снять права локального администратора по сети
В яростном припадке усиление информационной безопасности возникла первоочередная задача по понижению прав зверей - было необходимо снять права локальных администраторов со всех учеток за исключением естесвтенных админов. В сети свыше сотни машин, ад толко не настроен и поэтому пришлось работать со скриптами.
Скрипт понижения прав на VBS:
strComputer = "."
Set colGroups = GetObject("WinNT://" & strComputer & "/" &"Администраторы,group")
Set objUser=colGroups.Members
For Each objUser in colGroups.Members
Select Case objUser.Name
Case "Администратор"
Case "Domain Admins"
Case "Admin"
Case "Ad"
Case Else
colGroups.Remove objUser.ADsPath
End Select
Next
Снимает права со всех учеток кроме перечисленных в case.
Скрипт кладем на ообщедоступную шару, туда же кладем команду его запуска, чтоб ручками везде не забивать:
runas /u:домен\доменный_админ "cscript \\сервер\шара\скрипт.vbs"
Далее необходимо все это дело запустить на удаленной машине.
Все это дело можно было бы автоматизировать через psexec, но времени было мало и действовать пришлось тупо - по VNC.
Скрипт понижения прав на VBS:
strComputer = "."
Set colGroups = GetObject("WinNT://" & strComputer & "/" &"Администраторы,group")
Set objUser=colGroups.Members
For Each objUser in colGroups.Members
Select Case objUser.Name
Case "Администратор"
Case "Domain Admins"
Case "Admin"
Case "Ad"
Case Else
colGroups.Remove objUser.ADsPath
End Select
Next
Снимает права со всех учеток кроме перечисленных в case.
Скрипт кладем на ообщедоступную шару, туда же кладем команду его запуска, чтоб ручками везде не забивать:
runas /u:домен\доменный_админ "cscript \\сервер\шара\скрипт.vbs"
Далее необходимо все это дело запустить на удаленной машине.
Все это дело можно было бы автоматизировать через psexec, но времени было мало и действовать пришлось тупо - по VNC.