Jak sprawdzić, czy moje konto użytkownika jest kontem uprzywilejowanym?

Szukam odpowiedzi na to pytanie, więc jeśli to oznacza przekopanie się do SDDL (lub cokolwiek ... Chcę ZOBACZYĆ „token”), nie mam nic przeciwko.

Ustawienia zasad kontroli konta użytkownika mają dwie opcje zachowania zgody:

Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla administratorów w trybie zatwierdzania przez administratora Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla standardowych użytkowników

Jak mogę powiedzieć (będąc zalogowanym jako użytkownik), czy konto użytkownika jest obecnie przypisane do tokena administratora, aby nie był traktowany jako standardowe konto użytkownika lub czy jest administratorem nie w trybie zatwierdzania przez administratora?

Najlepszym rozwiązaniem, jakie do tej pory znalazłem, jest połączenie różnych rzeczy:

• whoami / all

  1. szukaj wbudowanego członkostwa grupy administratorów

• sprawdź dziennik zdarzeń bezpieczeństwa dla eventids 4688 i 4689

  1. Pamiętaj, aby włączyć śledzenie procesu audytu lokalnie: ustawienia zabezpieczeń secpol.msc - & gt; lokalne zasady - & gt; polityka audytu
  2. Get-EventLog -LogName Security | Where-Object {($_.eventid -eq 4688) -or ($_.eventid eq 4689)}
  3. Poszukaj typu podniesienia tokena w komunikacie tych wydarzeń:
• „%% 1936” Typ 1 jest pełnym tokenem bez usuniętych uprawnień lub grup wyłączonych. Pełny token jest używany tylko wtedy, gdy Kontrola konta użytkownika jest wyłączona lub jeśli użytkownik jest wbudowanym kontem administratora lub kontem usługi.
• „%% 1937” Typ 2 jest podwyższonym tokenem bez usuniętych uprawnień lub grup wyłączonych. Podwyższony token jest używany, gdy Kontrola konta użytkownika jest włączona, a użytkownik wybiera uruchomienie programu za pomocą opcji Uruchom jako administrator. Podwyższony token jest również używany, gdy aplikacja jest skonfigurowana tak, aby zawsze wymagała uprawnień administratora lub zawsze wymagała maksymalnych uprawnień, a użytkownik jest członkiem grupy Administratorzy.
• „%% 1938” Typ 3 jest ograniczonym tokenem z usuniętymi uprawnieniami administracyjnymi i wyłączonymi grupami administracyjnymi. Ograniczony token jest używany, gdy Kontrola konta użytkownika jest włączona, aplikacja nie wymaga uprawnień administratora, a użytkownik nie wybiera uruchomienia programu za pomocą opcji Uruchom jako administrator.

Dzięki powyższym komentarzom @Clijsters i autorowi wpisu na blogu tutaj: https://blogs.msdn.microsoft.com/sqlupdates/2015/05/20/understanding-user-account-control-uac-a-brief-summary/

Uwaga dotycząca skryptu powershell na blogu: jej skrypt nie działa, jeśli go skopiujesz i wkleisz. Musisz zrobić trochę własnych ulepszeń.

Uwaga na temat wersji systemu operacyjnego Windows: Odnośnie Windows Vista i 7, znajduję różne informacje dotyczące wpisów dziennika zdarzeń. Powyższe ustalenia opierają się na moich testach w systemie Windows 10. Wyszukiwanie w Internecie, w systemach Windows 7 i Vista, wpisy dziennika zdarzeń wydają się bardziej proste w odniesieniu do danych typu Wysokość tokenów, jak opisano w „Jak przeprowadzić kontrolę wysokości? „ sekcja tego artykułu: http://programming4.us/security/646.aspx Zamiast zaciemniania typu tokena, Win7 / Vista najwyraźniej daje ci go prosto jako 1, 2 lub 3. YMMV