Bagaimana cara saya memeriksa apakah skrip batch saat ini memiliki hak admin?

Saya tahu cara membuatnya menyebut dirinya dengan runas tetapi tidak bagaimana memeriksa hak admin. Satu-satunya solusi yang saya lihat adalah pekerjaan peretasan kasar atau menggunakan program eksternal. Yah, sebenarnya saya tidak peduli jika ini adalah pekerjaan hack selama itu bekerja pada Windows XP dan yang lebih baru.

Masalah

Solusi blak3r / Rushyo bekerja dengan baik untuk semuanya kecuali Windows 8. Menjalankan ATpada Windows 8 menghasilkan:

The AT command has been deprecated. Please use schtasks.exe instead.

The request is not supported.

(lihat tangkapan layar # 1) dan akan kembali %errorLevel% 1.

Penelitian

Jadi, saya pergi mencari perintah lain yang memerlukan izin tinggi. rATIONALparanoid.com memiliki daftar beberapa, jadi saya menjalankan setiap perintah pada dua ekstrim yang berlawanan dari OS Windows saat ini (XP dan 8) dengan harapan menemukan perintah yang akan ditolak akses pada kedua OS ketika dijalankan dengan izin standar.

Akhirnya, saya menemukan satu - NET SESSION. Sebuah benar , bersih, solusi universal yang tidak melibatkan:

• pembuatan atau interaksi dengan data di lokasi yang aman
• menganalisis data yang dikembalikan dari FORloop
• mencari string untuk "Administrator"
• menggunakan AT(Windows 8 tidak kompatibel) atau WHOAMI(Windows XP tidak kompatibel).

Masing-masing memiliki masalah keamanan, kegunaan, dan portabilitas sendiri.

Pengujian

Saya telah mengkonfirmasi secara independen bahwa ini berfungsi pada:

• Windows XP, x86
• Windows XP, x64
• Windows Vista, x86
• Windows Vista, x64
• Windows 7, x86
• Windows 7, x64
• Windows 8, x86
• Windows 8, x64
• Windows 10 v1909, x64

(lihat tangkapan layar # 2)

Implementasi / Penggunaan

Jadi, untuk menggunakan solusi ini, cukup lakukan sesuatu seperti ini:

@echo off
goto check_Permissions

:check_Permissions
    echo Administrative permissions required. Detecting permissions...

    net session >nul 2>&1
    if %errorLevel% == 0 (
        echo Success: Administrative permissions confirmed.
    ) else (
        echo Failure: Current permissions inadequate.
    )

    pause >nul

Tersedia di sini, jika Anda malas: https://dl.dropbox.com/u/27573003/Distribution/Binaries/check_Permissions.bat

Penjelasan

NET SESSIONadalah perintah standar yang digunakan untuk "mengelola koneksi komputer server. Digunakan tanpa parameter, [itu] menampilkan informasi tentang semua sesi dengan komputer lokal."

Jadi, inilah proses dasar implementasi yang saya berikan:

1. @echo off
   • Nonaktifkan tampilan perintah
2. goto check_Permissions
   • Lompat ke :check_Permissionsblok kode
3. net session >nul 2>&1
   • Jalankan perintah
   • Sembunyikan output visual dari perintah oleh
     1. Mengarahkan aliran keluaran standar (gagang numerik 1 / STDOUT) kenul
     2. Mengarahkan aliran output kesalahan standar (gagang numerik 2 / STDERR) ke tujuan yang sama dengan gagang numerik 1
4. if %errorLevel% == 0
   • Jika nilai kode keluar ( %errorLevel%) adalah 0 maka ini berarti bahwa tidak ada kesalahan telah terjadi dan, oleh karena itu, perintah sebelumnya langsung berjalan dengan sukses
5. else
   • Jika nilai kode keluar ( %errorLevel%) tidak 0 maka ini berarti bahwa kesalahan telah terjadi dan, oleh karena itu, perintah sebelumnya langsung berjalan tidak berhasil
6. Kode antara kurung masing-masing akan dieksekusi tergantung pada kriteria yang dipenuhi

Tangkapan layar

Windows 8AT %errorLevel% :

NET SESSIONpada Windows XP x86 - Windows 8 x64 :

Terima kasih, @Tilka, karena mengubah jawaban Anda yang diterima menjadi milik saya. :)

Solusi Anders bekerja untuk saya, tetapi saya tidak yakin bagaimana cara membalikkannya untuk mendapatkan yang sebaliknya (ketika Anda bukan admin).

Inilah solusi saya. Ini memiliki dua kasus, kasus IF dan ELSE, dan beberapa ascii seni untuk memastikan orang benar-benar membacanya. :)

Versi Minimal

Rushyo memposting solusi ini di sini: Bagaimana mendeteksi jika CMD berjalan sebagai Administrator / telah meningkatkan hak istimewa?

NET SESSION >nul 2>&1
IF %ERRORLEVEL% EQU 0 (
    ECHO Administrator PRIVILEGES Detected! 
) ELSE (
    ECHO NOT AN ADMIN!
)

Versi yang menambahkan Pesan Kesalahan, Jeda, dan Keluar

@rem ----[ This code block detects if the script is being running with admin PRIVILEGES If it isn't it pauses and then quits]-------
echo OFF
NET SESSION >nul 2>&1
IF %ERRORLEVEL% EQU 0 (
    ECHO Administrator PRIVILEGES Detected! 
) ELSE (
   echo ######## ########  ########   #######  ########  
   echo ##       ##     ## ##     ## ##     ## ##     ## 
   echo ##       ##     ## ##     ## ##     ## ##     ## 
   echo ######   ########  ########  ##     ## ########  
   echo ##       ##   ##   ##   ##   ##     ## ##   ##   
   echo ##       ##    ##  ##    ##  ##     ## ##    ##  
   echo ######## ##     ## ##     ##  #######  ##     ## 
   echo.
   echo.
   echo ####### ERROR: ADMINISTRATOR PRIVILEGES REQUIRED #########
   echo This script must be run as administrator to work properly!  
   echo If you're seeing this after clicking on a start menu icon, then right click on the shortcut and select "Run As Administrator".
   echo ##########################################################
   echo.
   PAUSE
   EXIT /B 1
)
@echo ON

Bekerja pada WinXP -> Win8 (termasuk versi 32/64 bit).

EDIT: 8/28/2012 Diperbarui untuk mendukung Windows 8. @BenHooper menunjukkan ini dalam jawabannya di bawah. Harap jawab jawabannya.

Lebih banyak masalah

Seperti yang ditunjukkan oleh @Lectrode, jika Anda mencoba menjalankan net sessionperintah ketika layanan Server dihentikan, Anda menerima pesan galat berikut:

The Server service is not started.

More help is available by typing NET HELPMSG 2114

Dalam hal ini %errorLevel%variabel akan diatur ke 2.

Catatan Layanan Server tidak dimulai saat dalam Mode Aman (dengan atau tanpa jaringan).

Mencari alternatif

Sesuatu yang:

• dapat kehabisan kotak pada Windows XP dan yang lebih baru (32 dan 64 bit);
• tidak menyentuh registri atau file / folder sistem apa pun;
• berfungsi terlepas dari lokal sistem;
• memberikan hasil yang benar bahkan dalam Mode Aman.

Jadi saya mem-boot mesin virtual vanilla Windows XP dan saya mulai menggulir daftar aplikasi dalam C:\Windows\System32folder, mencoba untuk mendapatkan beberapa ide. Setelah cobaan dan kesalahan, ini adalah pendekatan kotor (pun intended) yang saya buat dengan:

fsutil dirty query %systemdrive% >nul

The fsutil dirtyperintah membutuhkan hak admin untuk menjalankan, dan akan gagal sebaliknya. %systemdrive%adalah variabel lingkungan yang mengembalikan huruf drive tempat sistem operasi diinstal. Output diarahkan ke nul, sehingga diabaikan. The %errorlevel%variabel akan ditetapkan ke 0hanya setelah eksekusi sukses.

Inilah yang dikatakan dalam dokumentasi:

Fsutil kotor

Meminta atau menyetel bit kotor volume. Ketika bit kotor volume disetel, autochk secara otomatis memeriksa volume untuk kesalahan saat berikutnya komputer dihidupkan ulang.

Sintaksis

fsutil dirty {query | set} <VolumePath>

Parameter

query           Queries the specified volume's dirty bit.
set             Sets the specified volume's dirty bit.
<VolumePath>    Specifies the drive name followed by a colon or GUID.

Catatan

Sedikit volume kotor menunjukkan bahwa sistem file mungkin dalam keadaan tidak konsisten. Bit kotor dapat diatur karena:

• Volume online dan memiliki perubahan luar biasa.
• Perubahan dilakukan pada volume dan komputer dimatikan sebelum perubahan dilakukan ke disk.
• Korupsi terdeteksi pada volume.

Jika bit kotor diatur saat komputer dinyalakan kembali, chkdsk dijalankan untuk memverifikasi integritas sistem file dan untuk mencoba memperbaiki masalah apa pun dengan volume.

Contohnya

Untuk meminta bit kotor pada drive C, ketik:

fsutil dirty query C:

Penelitian lebih lanjut

Sementara solusi di atas bekerja dari Windows XP dan seterusnya, ada baiknya menambahkan bahwa Windows 2000 dan Windows PE (Preinstalled Environment) tidak disertai fsutil.exe , jadi kita harus menggunakan yang lain.

Selama pengujian saya sebelumnya, saya perhatikan bahwa menjalankan sfcperintah tanpa parameter apa pun akan menghasilkan:

• kesalahan, jika Anda tidak memiliki cukup hak istimewa;
• daftar parameter yang tersedia dan penggunaannya.

Yaitu: tidak ada parameter, tidak ada pihak . Idenya adalah bahwa kita dapat mem-parsing output dan memeriksa apakah kita mendapatkan kesalahan:

sfc 2>&1 | find /i "/SCANNOW" >nul

Output kesalahan pertama-tama diarahkan ke output standar, yang kemudian disalurkan ke findperintah. Pada titik ini kita harus mencari -satunya parameter yang didukung di semua versi Windows yang sejak Windows 2000: /SCANNOW. Pencarian tidak peka huruf besar kecil, dan hasilnya dibuang dengan mengarahkannya ke nul.

Berikut kutipan dari dokumentasi:

Sfc

Memindai dan memverifikasi integritas semua file sistem yang dilindungi dan mengganti versi yang salah dengan versi yang benar.

Catatan

Anda harus masuk sebagai anggota grup Administrator untuk menjalankan sfc.exe .

Contoh Penggunaan

Berikut ini beberapa contoh tempel dan jalankan:

Windows XP dan yang lebih baru

@echo off

call :isAdmin
if %errorlevel% == 0 (
echo Running with admin rights.
) else (
echo Error: Access denied.
)

pause >nul
exit /b

:isAdmin
fsutil dirty query %systemdrive% >nul
exit /b

Windows 2000 / Windows PE

@echo off

call :isAdmin
if %errorlevel% == 0 (
echo Running with admin rights.
) else (
echo Error: Access denied.
)

pause >nul
exit /b

:isAdmin
sfc 2>&1 | find /i "/SCANNOW" >nul
exit /b

Berlaku untuk

• Windows 2000
• Windows XP
• Windows Vista
• Windows 7
• Windows 8
• Windows 8.1
  ---
  
• Windows PE

dua cara lagi - kompatibel cepat dan mundur.

fltmc >nul 2>&1 && (
  echo has admin permissions
) || (
  echo has NOT admin permissions
)

fltmc perintah tersedia di setiap sistem windows sejak XP jadi ini seharusnya cukup portabel.

Salah satu solusi yang lebih sangat cepat diuji pada XP, 8.1, 7 - ada satu variabel tertentu =::yang disajikan hanya jika sesi konsol tidak memiliki privileges.As admin itu tidak begitu mudah untuk membuat variabel yang berisi =nama itu ini adalah cara yang relatif dapat diandalkan untuk memeriksa admin izin (tidak memanggil executable eksternal sehingga berkinerja baik)

setlocal enableDelayedExpansion
set "dv==::"
if defined !dv! ( 
   echo has NOT admin permissions
) else (
   echo has admin permissions
)

Jika Anda ingin menggunakan ini langsung melalui baris perintah, tetapi bukan dari file batch Anda dapat menggunakan:

set ^"|find "::"||echo has admin permissions

>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"&&(
 echo admin...
)

solusi alternatif:

@echo off
pushd %SystemRoot%
openfiles.exe 1>nul 2>&1
if not %errorlevel% equ 0 (
    Echo here you are not administrator!
) else (
    Echo here you are administrator!
)
popd
Pause

Tidak hanya memeriksa tetapi MENDAPATKAN hak admin secara otomatis
alias UAC Otomatis untuk Win 7/8 / 8.1 ff. : Berikut ini adalah yang sangat keren dengan satu fitur lagi: Cuplikan batch ini tidak hanya memeriksa hak admin, tetapi juga mendapatkannya secara otomatis! (dan tes sebelumnya, jika hidup pada OS yang mampu UAC.)

Dengan trik ini Anda tidak perlu lagi mengklik kanan pada file batch Anda "dengan hak admin". Jika Anda lupa, untuk memulainya dengan hak tinggi, UAC muncul secara otomatis! Selain itu, pada awalnya diuji, jika OS membutuhkan / menyediakan UAC, sehingga berperilaku benar misalnya untuk Win 2000 / XP hingga Win 8.1 diuji.

@echo off
REM Quick test for Windows generation: UAC aware or not ; all OS before NT4 ignored for simplicity
SET NewOSWith_UAC=YES
VER | FINDSTR /IL "5." > NUL
IF %ERRORLEVEL% == 0 SET NewOSWith_UAC=NO
VER | FINDSTR /IL "4." > NUL
IF %ERRORLEVEL% == 0 SET NewOSWith_UAC=NO


REM Test if Admin
CALL NET SESSION >nul 2>&1
IF NOT %ERRORLEVEL% == 0 (

    if /i "%NewOSWith_UAC%"=="YES" (
        rem Start batch again with UAC
        echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
        echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%\getadmin.vbs"
        "%temp%\getadmin.vbs"
        del "%temp%\getadmin.vbs"
        exit /B
    )

    rem Program will now start again automatically with admin rights! 
    rem pause
    goto :eof
)

Cuplikan menggabungkan beberapa pola batch yang baik bersama-sama, terutama (1) tes admin di utas ini oleh Ben Hooper dan (2) aktivasi UAC membaca di BatchGotAdmin dan dikutip di situs batch oleh robvanderwoude (hormat). (3) Untuk identifikasi OS dengan "pola VER | FINDSTR" Saya tidak menemukan referensi.)

(Mengenai beberapa pembatasan yang sangat kecil, ketika "NET SESSION" tidak berfungsi seperti yang disebutkan dalam jawaban lain - jangan ragu untuk memasukkan perintah-perintah lain. Bagi saya yang menjalankan dalam mode aman Windows atau layanan standar khusus turun dan semacam itu bukan kasus penggunaan yang penting - untuk beberapa admin mungkin mereka.)

Saya memiliki dua cara untuk memeriksa akses istimewa, keduanya cukup dapat diandalkan, dan sangat portabel di hampir setiap versi windows.

1. Metode

set guid=%random%%random%-%random%-%random%-%random%-%random%%random%%random%

mkdir %WINDIR%\%guid%>nul 2>&1
rmdir %WINDIR%\%guid%>nul 2>&1

IF %ERRORLEVEL%==0 (
    ECHO PRIVILEGED!
) ELSE (
    ECHO NOT PRIVILEGED!
)

Ini adalah salah satu metode yang paling dapat diandalkan, karena kesederhanaannya, dan perilaku perintah yang sangat primitif ini sangat tidak mungkin berubah. Itu bukan kasus alat CLI built-in lainnya seperti sesi bersih yang dapat dinonaktifkan oleh admin / kebijakan jaringan, atau perintah seperti fsutils yang mengubah output pada Windows 10.

* Bekerja pada XP dan yang lebih baru

2. Metode

REG ADD HKLM /F>nul 2>&1

IF %ERRORLEVEL%==0 (
    ECHO PRIVILEGED!
) ELSE (
    ECHO NOT PRIVILEGED!
)

Kadang-kadang Anda tidak suka gagasan menyentuh disk pengguna, bahkan jika itu tidak ofensif seperti menggunakan fsutils atau membuat folder kosong, apakah itu tidak dapat dibuktikan tetapi dapat mengakibatkan kegagalan bencana jika terjadi kesalahan. Dalam skenario ini, Anda bisa memeriksa registri untuk mendapatkan hak istimewa.

Untuk ini, Anda dapat mencoba membuat kunci pada HKEY_LOCAL_MACHINE menggunakan izin default Anda akan mendapatkan Access Ditolak dan ERRORLEVEL == 1, tetapi jika Anda menjalankan sebagai Admin, itu akan mencetak "perintah dieksekusi berhasil" dan ERRORLEVEL == 0. Karena kunci sudah ada tidak berpengaruh pada registri. Ini mungkin cara tercepat, dan REG ada di sana untuk waktu yang lama.

* Ini tidak tersedia pada pra NT (Win 9X).

* Bekerja pada XP dan yang lebih baru

Contoh kerja

Script yang menghapus folder temp

@echo off
:main
    echo.
    echo. Clear Temp Files script
    echo.

    call :requirePrivilegies

    rem Do something that require privilegies

    echo. 
    del %temp%\*.*
    echo. End!

    pause>nul
goto :eof


:requirePrivilegies
    set guid=%random%%random%-%random%-%random%-%random%-%random%%random%%random%
    mkdir %WINDIR%\%guid%>nul 2>&1
    rmdir %WINDIR%\%guid%>nul 2>&1
    IF NOT %ERRORLEVEL%==0 (
        echo ########## ERROR: ADMINISTRATOR PRIVILEGES REQUIRED ###########
        echo # This script must be run as administrator to work properly!  #
        echo # Right click on the script and select "Run As Administrator" #
        echo ###############################################################
        pause>nul
        exit
    )
goto :eof

Dalam skrip batch Tinggikan.cmd (lihat tautan ini ), yang telah saya tulis untuk mendapatkan hak admin , saya telah melakukannya dengan cara berikut:

:checkPrivileges
  NET FILE 1>NUL 2>NUL
  if '%errorlevel%' == '0' ( goto gotPrivileges ) else ( goto getPrivileges )

Ini adalah diuji untuk Windows 7, 8, 8.1, 10 dan bahkan Windows XP dan tidak memerlukan sumber daya apa pun seperti direktori khusus, file, atau kunci registri.

Cara terbersih untuk memeriksa hak admin menggunakan skrip CMD, yang saya temukan, adalah seperti ini:

@echo off

REM  Calling verify with no args just checks the verify flag,
REM   we use this for its side effect of setting errorlevel to zero
verify >nul

REM  Attempt to read a particular system directory - the DIR
REM   command will fail with a nonzero errorlevel if the directory is
REM   unreadable by the current process.  The DACL on the
REM   c:\windows\system32\config\systemprofile directory, by default,
REM   only permits SYSTEM and Administrators.
dir %windir%\system32\config\systemprofile >nul 2>nul

REM  Use IF ERRORLEVEL or %errorlevel% to check the result
if not errorlevel 1 echo has Admin privs
if     errorlevel 1 echo has only User privs

Metode ini hanya menggunakan bawaan CMD.exe, jadi harus sangat cepat. Ini juga memeriksa kemampuan proses yang sebenarnya daripada memeriksa SID atau keanggotaan grup, sehingga izin efektif diuji. Dan ini bekerja sejauh Windows 2003 dan XP. Proses pengguna normal atau proses yang tidak terkait gagal penyelidikan direktori, di mana Admin atau proses yang ditingkatkan berhasil.

Berikut ini mencoba membuat file di direktori Windows. Jika berhasil maka akan menghapusnya.

copy /b/y NUL %WINDIR%\06CF2EB6-94E6-4a60-91D8-AB945AE8CF38 >NUL 2>&1
if errorlevel 1 goto:nonadmin
del %WINDIR%\06CF2EB6-94E6-4a60-91D8-AB945AE8CF38 >NUL 2>&1
:admin
rem here you are administrator
goto:eof
:nonadmin
rem here you are not administrator
goto:eof

Perhatikan bahwa 06CF2EB6-94E6-4a60-91D8-AB945AE8CF38 adalah GUID yang dibuat hari ini dan diasumsikan tidak mungkin bertentangan dengan nama file yang ada.

Whoami / grup tidak berfungsi dalam satu kasus. Jika UAC Anda benar-benar dimatikan (tidak hanya notifikasi dimatikan), dan Anda memulai dari prompt Administrator kemudian mengeluarkan:

runas /trustlevel:0x20000 cmd

Anda akan menjalankan non-tinggi, tetapi mengeluarkan:

whoami /groups

akan mengatakan Anda terangkat. Itu salah. Inilah mengapa itu salah:

Saat menjalankan dalam kondisi ini, jika IsUserAdmin ( https://msdn.microsoft.com/en-us/library/windows/desktop/aa376389(v=vs.85).aspx ) mengembalikan FALSE dan UAC dinonaktifkan sepenuhnya, dan GetTokenInformation mengembalikan TokenElevationTypeDefault ( http://blogs.msdn.com/b/cjacks/archive/2006/10/24/modifying-the-mandatory-integrity-level-for-a-securable-object-in-windows-vista.aspx ) maka proses tidak berjalan tinggi, tetapiwhoami /groups mengklaim itu.

sungguh, cara terbaik untuk melakukan ini dari file batch adalah:

net session >nul 2>nul
net session >nul 2>nul
echo %errorlevel%

Anda harus melakukan net sessiondua kali karena jika seseorang melakukan atsebelumnya, Anda akan mendapatkan informasi yang salah.

whoami /groups | find "S-1-16-12288" > nul
if not errorlevel 1 (
  echo ...  connected as admin
)

Beberapa server menonaktifkan layanan yang dibutuhkan oleh perintah "sesi bersih". Ini menghasilkan cek admin selalu mengatakan Anda tidak memiliki hak admin ketika Anda mungkin memiliki.

Sunting: copyitright telah menunjukkan bahwa ini tidak dapat diandalkan. Menyetujui akses baca dengan UAC akan memungkinkan dir berhasil. Saya memiliki sedikit lebih banyak skrip untuk menawarkan kemungkinan lain, tetapi itu bukan hanya baca.

reg query "HKLM\SOFTWARE\Foo" >NUL 2>NUL && goto :error_key_exists
reg add "HKLM\SOFTWARE\Foo" /f >NUL 2>NUL || goto :error_not_admin
reg delete "HKLM\SOFTWARE\Foo" /f >NUL 2>NUL || goto :error_failed_delete
goto :success

:error_failed_delete
  echo Error unable to delete test key
  exit /b 3
:error_key_exists
  echo Error test key exists
  exit /b 2
:error_not_admin
  echo Not admin
  exit /b 1
:success
  echo Am admin

Jawaban lama di bawah

Peringatan: tidak bisa diandalkan

Berdasarkan sejumlah jawaban baik lainnya di sini dan poin yang diajukan oleh and31415 saya menemukan bahwa saya penggemar berikut ini:

dir "%SystemRoot%\System32\config\DRIVERS" 2>nul >nul || echo Not Admin

Sedikit ketergantungan dan cepat.

Catatan: Memeriksa dengan cacl untuk sistem \ system32 \ config \ akan SELALU gagal di WOW64, (misalnya dari% systemroot% \ syswow64 \ cmd.exe / 32 bit Total Commander) sehingga skrip yang berjalan dalam shell 32bit dalam sistem 64bit akan berulang selamanya ... Lebih baik memeriksa hak pada direktori Prefetch:

>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\Prefetch\"

Menang XP ke 7 diuji, namun gagal di WinPE seperti pada windows 7 install.wim tidak ada dir atau cacls.exe

Juga di winPE DAN wow64 gagal memeriksa dengan openfiles.exe:

OPENFILES > nul

Di Windows 7 akan muncul kesalahan tingkat dengan "1" dengan info bahwa "Sistem target harus sistem operasi 32bit"

Kedua pemeriksaan mungkin juga akan gagal di konsol pemulihan.

Apa yang bekerja di Windows XP - 8 32/64 bit, di WOW64 dan di WinPE adalah: tes pembuatan dir (JIKA admin tidak membombardir direktori Windows dengan izin untuk semua orang ...) dan

net session

dan

reg add HKLM /F

memeriksa.

Juga satu catatan lagi di beberapa windows XP (dan versi lain mungkin juga, tergantung pada bermain-main admin) tergantung pada entri registri langsung memanggil bat / cmd dari skrip .vbs akan gagal dengan info bahwa file bat / cmd tidak terkait dengan apa pun ...

echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%\getadmin.vbs"
cscript "%temp%\getadmin.vbs" //nologo

Memanggil cmd.exe dengan parameter file bat / cmd di sisi lain berfungsi OK:

echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
echo UAC.ShellExecute "cmd.exe", "/C %~s0", "", "runas", 1 >> "%temp%\getadmin.vbs"
cscript "%temp%\getadmin.vbs" //nologo

Secara harfiah lusinan jawaban dalam hal ini dan pertanyaan terkait serta di tempat lain di SE, yang semuanya kekurangan dalam hal ini atau lainnya, telah dengan jelas menunjukkan bahwa Windows tidak menyediakan utilitas konsol bawaan yang andal. Jadi, sekarang saatnya untuk meluncurkan milik Anda sendiri.

Berikut kode C, berdasarkan Mendeteksi jika program ini berjalan dengan hak administrator penuh , bekerja di Win2k + ¹ , di mana saja dan dalam semua kasus (UAC, domain, kelompok transitif ...) - karena tidak sama dengan sistem itu sendiri ketika memeriksa izin. Ini menandakan hasil baik dengan pesan (yang dapat dibungkam dengan sakelar) dan kode keluar.

Itu hanya perlu dikompilasi sekali, maka Anda bisa menyalin di .exemana - mana - hanya tergantung pada kernel32.dlldan advapi32.dll(saya sudah mengunggah salinan ).

chkadmin.c:

#include <malloc.h>
#include <stdio.h>
#include <windows.h>
#pragma comment (lib,"Advapi32.lib")

int main(int argc, char** argv) {
    BOOL quiet = FALSE;
    DWORD cbSid = SECURITY_MAX_SID_SIZE;
    PSID pSid = _alloca(cbSid);
    BOOL isAdmin;

    if (argc > 1) {
        if (!strcmp(argv[1],"/q")) quiet=TRUE;
        else if (!strcmp(argv[1],"/?")) {fprintf(stderr,"Usage: %s [/q]\n",argv[0]);return 0;}
    }

    if (!CreateWellKnownSid(WinBuiltinAdministratorsSid,NULL,pSid,&cbSid)) {
        fprintf(stderr,"CreateWellKnownSid: error %d\n",GetLastError());exit(-1);}

    if (!CheckTokenMembership(NULL,pSid,&isAdmin)) {
        fprintf(stderr,"CheckTokenMembership: error %d\n",GetLastError());exit(-1);}

    if (!quiet) puts(isAdmin ? "Admin" : "Non-admin");
    return !isAdmin;
}

¹ _{MSDN mengklaim API adalah XP + tetapi ini salah. CheckTokenMembership 2k + dan yang lainnya bahkan lebih tua . Tautan terakhir juga berisi cara yang jauh lebih rumit yang akan berfungsi bahkan di NT.}

PowerShell siapa saja?

param (
    [string]$Role = "Administrators"
)

#check for local role

$identity  = New-Object Security.Principal.WindowsIdentity($env:UserName)
$principal = New-Object Security.Principal.WindowsPrincipal($identity)

Write-Host "IsInRole('$Role'): " $principal.IsInRole($Role)

#enumerate AD roles and lookup

$groups = $identity::GetCurrent().Groups
foreach ($group in $groups) {
    $trans = $group.Translate([Security.Principal.NTAccount]);
    if ($trans.Value -eq $Role) {
       Write-Host "User is in '$Role' role"
    }
}

Berikut ini satu lagi untuk ditambahkan ke daftar ;-)

(mencoba membuat file di lokasi sistem)

CD.>"%SystemRoot%\System32\Drivers\etc\_"
MODE CON COLS=80 LINES=25

IF EXIST "%SystemRoot%\System32\Drivers\etc\_" (

  DEL "%SystemRoot%\System32\Drivers\etc\_"

  ECHO Has Admin privileges

) ELSE (

  ECHO No Admin privileges

)

The MODE CONmenginisialisasi ulang layar dan mengesampingkan semua teks / kesalahan ketika tidak memiliki izin untuk menulis ke lokasi sistem.

Alternatif: Gunakan utilitas eksternal yang dirancang untuk tujuan ini, misalnya, IsAdmin.exe (freeware tidak terbatas).

Kode keluar:

0 - Pengguna saat ini bukan anggota grup Administrators

1 - Anggota pengguna saat ini dari Administrator dan menjalankan ditinggikan

2 - Anggota pengguna saat ini dari Administrator, tetapi tidak menjalankan ditinggikan

@echo off
ver
set ADMDIR=C:\Users\Administrator
dir %ADMDIR% 1>nul 2>&1
echo [%errorlevel%] %ADMDIR%
if "%errorlevel%"=="0" goto main
:: further checks e.g. try to list the contents of admin folders
:: wherever they are stored on older versions of Windows
echo You need administrator privileges to run this script: %0
echo Exiting...
exit /b

:main
echo Executing with Administrator privileges...

@echo off
:start
set randname=%random%%random%%random%%random%%random%
md \windows\%randname% 2>nul
if %errorlevel%==0 (echo You're elevated!!!
goto end)
if %errorlevel%==1 (echo You're not elevated :(:(
goto end)
goto start
:end
rd \windows\%randname% 2>nul
pause >nul

Saya akan menjelaskan kode baris demi baris:

@echo off

Pengguna akan terganggu dengan lebih dari 1 baris tanpa ini.

:start

Titik di mana program dimulai.

set randname=%random%%random%%random%%random%%random%

Atur nama file direktori yang akan dibuat.

md \windows\%randname% 2>nul

Membuat direktori aktif <DL>:\Windows(ganti <DL> dengan huruf drive).

if %errorlevel%==0 (echo You're elevated!!!
goto end)

Jika variabel lingkungan ERRORLEVEL adalah nol, maka pesan keberhasilan echo.
Pergi ke akhir (jangan melanjutkan lebih jauh).

if %errorlevel%==1 (echo You're not elevated :(:(
goto end)

Jika ERRORLEVEL adalah satu, gema pesan kegagalan dan pergi ke akhir.

goto start

Jika nama file sudah ada, buat ulang folder (jika tidak, goto endperintah tidak akan membiarkan ini berjalan).

:end

Tentukan titik akhir

rd \windows\%randname% 2>nul

Hapus direktori yang dibuat.

pause >nul

Jeda agar pengguna dapat melihat pesan.

Catatan : The >nuldan 2>nulsedang memfilter output dari perintah ini.

net user %username% >nul 2>&1 && echo admin || echo not admin

Saya pikir cara paling sederhana adalah mencoba mengubah tanggal sistem (yang memerlukan hak admin):

date %date%
if errorlevel 1 (
   echo You have NOT admin rights
) else (
   echo You have admin rights
)

Jika %date%variabel dapat menyertakan hari dalam seminggu, dapatkan saja tanggal dari bagian terakhir dari DATEperintah:

for /F "delims=" %%a in ('date ^<NUL') do set "today=%%a" & goto break
:break
for %%a in (%today%) do set "today=%%a"
date %today%
if errorlevel 1 ...

Saya menemukan pengguna yang dapat digunakan net session meskipun mereka bukan admin. Saya tidak melihat mengapa. Solusi saya adalah untuk menguji apakah pengguna dapat membuat folder di folder windows.

Ini kode saya:

::::::: :testadmin function START :::::::
:: this function tests if current user is admin.  results are returned as "true" or "false" in %isadmin%
:: Test "%isadmin" after calling this function
:: Usage: "call :testadmin"
echo Your script entered the :testadmin function by error.  Usage: "call :testadmin"
pause
exit /b
:testadmin

 rd %windir%\local_admin_test > nul 2> nul
 md %windir%\local_admin_test > nul 2> nul
 if [%errorlevel%]==[0] set isadmin=true
 if not [%errorlevel%]==[0] set isadmin=false
 rd %windir%\local_admin_test > nul 2> nul

 if [%isadmin%]==[true] (
   echo User IS admin.
 )
 if not [%isadmin%]==[true] (
   echo User IS NOT admin.
   timeout 30
   :: or use "pause" instead of "timeout"
   exit /b
 )
exit /b
:::::: :testadmin function END ::::::

Kumpulan empat metode yang tampaknya paling kompatibel dari halaman ini. Yang pertama sangat jenius. Diuji dari XP ke atas. Meskipun membingungkan bahwa tidak ada perintah standar yang tersedia untuk memeriksa hak admin. Saya kira mereka hanya berfokus pada PowerShell sekarang, yang benar-benar tidak berguna untuk sebagian besar pekerjaan saya sendiri.

Saya menelepon batch 'exit-if-not-admin.cmd' yang dapat dipanggil dari batch lain untuk memastikan mereka tidak melanjutkan eksekusi jika hak admin yang diperlukan tidak diberikan.

rem Sun May 03, 2020

rem Methods for XP+ used herein based on:
rem /programming/4051883/batch-script-how-to-check-for-admin-rights
goto method1

:method1
setlocal enabledelayedexpansion
set "dv==::"
if defined !dv! goto notadmin
goto admin

:method2
call fsutil dirty query %SystemDrive% >nul
if %ERRORLEVEL%==0 goto admin
goto notadmin

:method3
net session >nul 2>&1
if %ERRORLEVEL%==0 goto admin
goto notadmin

:method4
fltmc >nul 2>&1 && goto admin
goto notadmin

:admin
echo Administrator rights detected
goto end

:notadmin
echo ERROR: This batch must be run with Administrator privileges
pause
exit /b
goto end

:end```

Inilah nilai 2-sen saya:

Saya membutuhkan batch untuk dijalankan dalam lingkungan Domain selama proses login pengguna, dalam lingkungan 'ruang kerja', melihat pengguna mematuhi kebijakan "penguncian" dan tampilan terbatas (terutama didistribusikan melalui set GPO).

Set Domain GPO diterapkan sebelum skrip login yang terhubung dengan pengguna AD Membuat skrip login GPO terlalu matang karena profil "baru" pengguna belum dibuat / dimuat / atau siap untuk menerapkan "hapus dan / atau Sematkan "bilah tugas dan item Menu Mulai vbscript + tambahkan beberapa file lokal.

misalnya: Lingkungan profil 'pengguna-pengguna' yang diusulkan memerlukan pintasan ".URL '(.lnk) yang ditempatkan di dalam"% ProgramData% \ Microsoft \ Windows \ Start Menu \ Program * MyNewOWA.url * ", dan" C: \ Users \ Public \ Desktop \ * MyNewOWA.url * "lokasi, di antara item lainnya

Pengguna memiliki beberapa mesin dalam domain, di mana hanya PC 'ruang kerja' yang ditetapkan ini yang memerlukan kebijakan ini.

Folder-folder ini memerlukan hak 'Admin' untuk dimodifikasi, dan meskipun 'Pengguna Domain' adalah bagian dari grup 'Admin' lokal - UAC adalah tantangan berikutnya.

Menemukan berbagai adaptasi dan digabung di sini. Saya memiliki beberapa pengguna dengan perangkat BYOD juga yang membutuhkan file lain dengan masalah perm. Belum diuji pada XP (OS yang sedikit terlalu tua), tetapi kodenya ada, akan senang memberi umpan balik.

    :: ------------------------------------------------------------------------
    :: You have a royalty-free right to use, modify, reproduce and distribute
    :: the Sample Application Files (and/or any modified version) in any way
    :: you find useful, provided that you agree that the author provides
    :: no warranty, obligations or liability for any Sample Application Files.
    :: ------------------------------------------------------------------------

    :: ********************************************************************************
    ::* Sample batch script to demonstrate the usage of RunAs.cmd
    ::*
    ::* File:           RunAs.cmd
    ::* Date:           12/10/2013
    ::* Version:        1.0.2
    ::*
    ::* Main Function:  Verifies status of 'bespoke' Scripts ability to 'Run As - Admin'
    ::*                 elevated privileges and without UAC prompt
    ::*
    ::* Usage:          Run RunAs.cmd from desired location
    ::*         Bespoke.cmd will be created and called from C:\Utilities location
    ::*         Choose whether to delete the script after its run by removing out-comment
    ::*                 (::) before the 'Del /q Bespoke.cmd' command
    ::*
    ::* Distributed under a "GNU GPL" type basis.
    ::*
    ::* Revisions:
    ::* 1.0.0 - 08/10/2013 - Created.
    ::* 1.0.1 - 09/10/2013 - Include new path creation.
    ::* 1.0.2 - 12/10/2013 - Modify/shorten UAC disable process for Admins
    ::*
    ::* REFERENCES:
    ::* Sample "*.inf" secpol.msc export from Wins 8 x64 @ bottom, 
    ::* Would be default but for 'no password complexities'
    ::*
    ::* To recreate UAC default: 
    ::* Goto:Secpol, edit out Exit, modify .inf set, export as "Wins8x64.inf" 
    ::* and import using secedit cmd provided
    ::*
    :: ********************************************************************************

    @echo off & cls
    color 9F
    Title RUN AS
    Setlocal
    :: Verify local folder availability for script
    IF NOT EXIST C:\Utilities (
        mkdir C:\Utilities & GOTO:GenBatch
    ) ELSE (
        Goto:GenBatch
    )
    :GenBatch
    c:
    cd\
    cd C:\Utilities
    IF NOT EXIST C:\Utilities\Bespoke.cmd (
        GOTO:CreateBatch
    ) ELSE (
        Goto:RunBatch
    )
    :CreateBatch
    Echo. >Bespoke.cmd
    Echo :: ------------------------------------------------------------------------ >>Bespoke.cmd
    Echo :: You have a royalty-free right to use, modify, reproduce and distribute >>Bespoke.cmd
    Echo :: the Sample Application Files (and/or any modified version) in any way >>Bespoke.cmd
    Echo :: you find useful, provided that you agree that the author provides >>Bespoke.cmd
    Echo :: has no warranty, obligations or liability for any Sample Application Files. >>Bespoke.cmd
    Echo :: ------------------------------------------------------------------------ >>Bespoke.cmd
    Echo. >>Bespoke.cmd
    Echo :: ******************************************************************************** >>Bespoke.cmd
    Echo ::* Sample batch script to demonstrate the usage of Bespoke.cmd >>Bespoke.cmd
    Echo ::* >>Bespoke.cmd
    Echo ::* File:           Bespoke.cmd >>Bespoke.cmd
    Echo ::* Date:           10/10/2013 >>Bespoke.cmd
    Echo ::* Version:        1.0.1 >>Bespoke.cmd
    Echo ::* >>Bespoke.cmd
    Echo ::* Main Function:  Allows for running of Bespoke batch with elevated rights and no future UAC 'pop-up' >>Bespoke.cmd
    Echo ::* >>Bespoke.cmd
    Echo ::* Usage:          Called and created by RunAs.cmd run from desired location >>Bespoke.cmd
    Echo ::*                 Found in the C:\Utilities folder >>Bespoke.cmd
    Echo ::* >>Bespoke.cmd
    Echo ::* Distributed under a "GNU GPL" type basis. >>Bespoke.cmd
    Echo ::* >>Bespoke.cmd
    Echo ::* Revisions: >>Bespoke.cmd
    Echo ::* 1.0.0 - 09/10/2013 - Created. >>Bespoke.cmd
    Echo ::* 1.0.1 - 10/10/2013 - Modified, added ability to temp disable UAC pop-up warning. >>Bespoke.cmd
    Echo ::* >>Bespoke.cmd
    Echo ::* REFERENCES: >>Bespoke.cmd
    Echo ::* >>Bespoke.cmd
    Echo ::* Exit code (%%^ErrorLevel%%) 0 - No errors have occurred, i.e. immediate previous command ran successfully >>Bespoke.cmd
    Echo ::* Exit code (%%^ErrorLevel%%) 1 - Errors occurred, i.e. immediate previous command ran Unsuccessfully >>Bespoke.cmd
    Echo ::* >>Bespoke.cmd
    Echo ::* MS OS version check >>Bespoke.cmd
    Echo ::* http://msdn.microsoft.com/en-us/library/windows/desktop/ms724833%28v=vs.85%29.aspx >>Bespoke.cmd
    Echo ::* >>Bespoke.cmd
    Echo ::* Copying to certain folders and running certain apps require elevated perms >>Bespoke.cmd
    Echo ::* Even with 'Run As ...' perms, UAC still pops up. >>Bespoke.cmd
    Echo ::* >>Bespoke.cmd
    Echo ::* To run a script or application in the Windows Shell >>Bespoke.cmd
    Echo ::* http://ss64.com/vb/shellexecute.html >>Bespoke.cmd
    Echo ::* >>Bespoke.cmd
    Echo ::* Machines joined to a corporate Domain should have the UAC feature set from, and >>Bespoke.cmd
    Echo ::* pushed out from a DC GPO policy >>Bespoke.cmd
    Echo ::* e.g.: 'Computer Configuration - Policies - Windows Settings - Security Settings -  >>Bespoke.cmd
    Echo ::* Local Policies/Security Options - User Account Control -  >>Bespoke.cmd
    Echo ::* Policy: User Account Control: Behavior of the elevation prompt for administrators >>Bespoke.cmd
    Echo ::*         in Admin Approval Mode  Setting: Elevate without prompting >>Bespoke.cmd
    Echo ::* >>Bespoke.cmd
    Echo :: ******************************************************************************** >>Bespoke.cmd
    Echo.>>Bespoke.cmd
    Echo @Echo off ^& cls>>Bespoke.cmd
    Echo color 9F>>Bespoke.cmd
    Echo Title RUN AS ADMIN>>Bespoke.cmd
    Echo Setlocal>>Bespoke.cmd
    Echo.>>Bespoke.cmd
    Echo Set "_OSVer=">>Bespoke.cmd
    Echo Set "_OSVer=UAC">>Bespoke.cmd
    Echo VER ^| FINDSTR /IL "5." ^>NUL>>Bespoke.cmd
    Echo IF %%^ErrorLevel%%==0 SET "_OSVer=PreUAC">>Bespoke.cmd
    Echo IF %%^_OSVer%%==PreUAC Goto:XPAdmin>>Bespoke.cmd
    Echo.>>Bespoke.cmd
    Echo :: Check if machine part of a Domain or within a Workgroup environment >>Bespoke.cmd
    Echo Set "_DomainStat=">>Bespoke.cmd
    Echo Set "_DomainStat=%%USERDOMAIN%%">>Bespoke.cmd
    Echo If /i %%^_DomainStat%% EQU %%^computername%% (>>Bespoke.cmd
    Echo Goto:WorkgroupMember>>Bespoke.cmd
    Echo ) ELSE (>>Bespoke.cmd
    Echo Set "_DomainStat=DomMember" ^& Goto:DomainMember>>Bespoke.cmd
    Echo )>>Bespoke.cmd
    Echo.>>Bespoke.cmd
    Echo :WorkgroupMember>>Bespoke.cmd
    Echo :: Verify status of Secpol.msc 'ConsentPromptBehaviorAdmin' Reg key >>Bespoke.cmd
    Echo reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v ConsentPromptBehaviorAdmin ^| Find /i "0x0">>Bespoke.cmd
    Echo.>>Bespoke.cmd
    Echo If %%^ErrorLevel%%==0 (>>Bespoke.cmd
    Echo    Goto:BespokeBuild>>Bespoke.cmd
    Echo ) Else (>>Bespoke.cmd
    Echo    Goto:DisUAC>>Bespoke.cmd
    Echo )>>Bespoke.cmd
    Echo :DisUAC>>Bespoke.cmd
    Echo :XPAdmin>>Bespoke.cmd
    Echo :DomainMember>>Bespoke.cmd
    Echo :: Get ADMIN Privileges, Start batch again, modify UAC ConsentPromptBehaviorAdmin reg if needed >>Bespoke.cmd
    Echo ^>nul ^2^>^&1 ^"^%%^SYSTEMROOT%%\system32\cacls.exe^"^ ^"^%%^SYSTEMROOT%%\system32\config\system^">>Bespoke.cmd
    Echo.>>Bespoke.cmd
    Echo IF ^'^%%^Errorlevel%%^'^ NEQ '0' (>>Bespoke.cmd
    Echo    echo Set objShell = CreateObject^^("Shell.Application"^^) ^> ^"^%%^temp%%\getadmin.vbs^">>Bespoke.cmd
    Echo    echo objShell.ShellExecute ^"^%%~s0^"^, "", "", "runas", 1 ^>^> ^"^%%^temp%%\getadmin.vbs^">>Bespoke.cmd
    Echo    ^"^%%^temp%%\getadmin.vbs^">>Bespoke.cmd
    Echo    del ^"^%%^temp%%\getadmin.vbs^">>Bespoke.cmd
    Echo    exit /B>>Bespoke.cmd
    Echo ) else (>>Bespoke.cmd
    Echo    pushd ^"^%%^cd%%^">>Bespoke.cmd
    Echo    cd /d ^"^%%~dp0^">>Bespoke.cmd
    Echo    @echo off>>Bespoke.cmd
    Echo )>>Bespoke.cmd
    Echo.>>Bespoke.cmd
    Echo IF %%^_OSVer%%==PreUAC Goto:BespokeBuild>>Bespoke.cmd
    Echo IF %%^_DomainStat%%==DomMember Goto:BespokeBuild>>Bespoke.cmd
    Echo.>>Bespoke.cmd
    Echo reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 0 /f>>Bespoke.cmd
    Echo.>>Bespoke.cmd
    Echo :BespokeBuild>>Bespoke.cmd
    Echo :: Add your script requiring elevated perm and no UAC below: >>Bespoke.cmd
    Echo.>>Bespoke.cmd

    :: PROVIDE BRIEF EXPLINATION AS TO WHAT YOUR SCRIPT WILL ACHIEVE
    Echo ::

    :: ADD THE "PAUSE" BELOW ONLY IF YOU SET TO SEE RESULTS FROM YOUR SCRIPT
    Echo Pause>>Bespoke.cmd

    Echo Goto:EOF>>Bespoke.cmd
    Echo :EOF>>Bespoke.cmd
    Echo Exit>>Bespoke.cmd

    Timeout /T 1 /NOBREAK >Nul
    :RunBatch
    call "Bespoke.cmd"
    :: Del /F /Q "Bespoke.cmd"

    :Secpol
    :: Edit out the 'Exit (rem or ::) to run & import default wins 8 security policy provided below
    Exit

    :: Check if machine part of a Domain or within a Workgroup environment
    Set "_DomainStat="
    Set _DomainStat=%USERDOMAIN%
    If /i %_DomainStat% EQU %computername% (
        Goto:WorkgroupPC
    ) ELSE (
        Echo PC Member of a Domain, Security Policy determined by GPO
        Pause
        Goto:EOF
    )

    :WorkgroupPC

    reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v ConsentPromptBehaviorAdmin | Find /i "0x5"
    Echo.
    If %ErrorLevel%==0 (
        Echo Machine already set for UAC 'Prompt'
        Pause
        Goto:EOF
    ) else (
        Goto:EnableUAC
    )
    :EnableUAC
    IF NOT EXIST C:\Utilities\Wins8x64Def.inf (
        GOTO:CreateInf
    ) ELSE (
        Goto:RunInf
    )
    :CreateInf
    :: This will create the default '*.inf' file and import it into the 
    :: local security policy for the Wins 8 machine
    Echo [Unicode]>>Wins8x64Def.inf
    Echo Unicode=yes>>Wins8x64Def.inf
    Echo [System Access]>>Wins8x64Def.inf
    Echo MinimumPasswordAge = ^0>>Wins8x64Def.inf
    Echo MaximumPasswordAge = ^-1>>Wins8x64Def.inf
    Echo MinimumPasswordLength = ^0>>Wins8x64Def.inf
    Echo PasswordComplexity = ^0>>Wins8x64Def.inf
    Echo PasswordHistorySize = ^0>>Wins8x64Def.inf
    Echo LockoutBadCount = ^0>>Wins8x64Def.inf
    Echo RequireLogonToChangePassword = ^0>>Wins8x64Def.inf
    Echo ForceLogoffWhenHourExpire = ^0>>Wins8x64Def.inf
    Echo NewAdministratorName = ^"^Administrator^">>Wins8x64Def.inf
    Echo NewGuestName = ^"^Guest^">>Wins8x64Def.inf
    Echo ClearTextPassword = ^0>>Wins8x64Def.inf
    Echo LSAAnonymousNameLookup = ^0>>Wins8x64Def.inf
    Echo EnableAdminAccount = ^0>>Wins8x64Def.inf
    Echo EnableGuestAccount = ^0>>Wins8x64Def.inf
    Echo [Event Audit]>>Wins8x64Def.inf
    Echo AuditSystemEvents = ^0>>Wins8x64Def.inf
    Echo AuditLogonEvents = ^0>>Wins8x64Def.inf
    Echo AuditObjectAccess = ^0>>Wins8x64Def.inf
    Echo AuditPrivilegeUse = ^0>>Wins8x64Def.inf
    Echo AuditPolicyChange = ^0>>Wins8x64Def.inf
    Echo AuditAccountManage = ^0>>Wins8x64Def.inf
    Echo AuditProcessTracking = ^0>>Wins8x64Def.inf
    Echo AuditDSAccess = ^0>>Wins8x64Def.inf
    Echo AuditAccountLogon = ^0>>Wins8x64Def.inf
    Echo [Registry Values]>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SecurityLevel=4,^0>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SetCommand=4,^0>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount=1,"10">>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ForceUnlockLogon=4,^0>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning=4,5>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ScRemoveOption=1,"0">>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin=4,5>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser=4,3>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD=4,1>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName=4,^0>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection=4,1>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA=4,1>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths=4,1>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle=4,^0>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization=4,1>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken=4,^0>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption=1,"">>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText=7,>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop=4,1>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ScForceOption=4,^0>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon=4,1>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\UndockWithoutLogon=4,1>>Wins8x64Def.inf
    Echo MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ValidateAdminCodeSignatures=4,^0>>Wins8x64Def.inf
    Echo MACHINE\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled=4,^0>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects=4,^0>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail=4,^0>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4,^0>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4,^0>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled=4,^0>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,^0>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3,^0>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse=4,1>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec=4,536870912>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec=4,536870912>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,^0>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM=4,1>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4,^0>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine=7,System\CurrentControlSet\Control\ProductOptions,System\CurrentControlSet\Control\Server Applications,Software\Microsoft\Windows NT\CurrentVersion>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine=7,System\CurrentControlSet\Control\Print\Printers,System\CurrentControlSet\Services\Eventlog,Software\Microsoft\OLAP Server,Software\Microsoft\Windows NT\CurrentVersion\Print,Software\Microsoft\Windows NT\CurrentVersion\Windows,System\CurrentControlSet\Control\ContentIndex,System\CurrentControlSet\Control\Terminal Server,System\CurrentControlSet\Control\Terminal Server\UserConfig,System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration,Software\Microsoft\Windows NT\CurrentVersion\Perflib,System\CurrentControlSet\Services\SysmonLog>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive=4,1>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown=4,^0>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4,1>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Control\Session Manager\SubSystems\optional=7,Posix>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect=4,15>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogOff=4,1>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,^0>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\NullSessionPipes=7,>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature=4,^0>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess=4,1>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword=4,^0>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature=4,1>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature=4,^0>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Services\LDAP\LDAPClientIntegrity=4,1>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange=4,^0>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge=4,30>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal=4,1>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey=4,1>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel=4,1>>Wins8x64Def.inf
    Echo MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel=4,1>>Wins8x64Def.inf
    Echo [Privilege Rights]>>Wins8x64Def.inf
    Echo SeNetworkLogonRight = *S-1-1-0,*S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551>>Wins8x64Def.inf
    Echo SeBackupPrivilege = *S-1-5-32-544,*S-1-5-32-551>>Wins8x64Def.inf
    Echo SeChangeNotifyPrivilege = *S-1-1-0,*S-1-5-19,*S-1-5-20,*S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551,*S-1-5-90-^0>>Wins8x64Def.inf
    Echo SeSystemtimePrivilege = *S-1-5-19,*S-1-5-32-544>>Wins8x64Def.inf
    Echo SeCreatePagefilePrivilege = *S-1-5-32-544>>Wins8x64Def.inf
    Echo SeDebugPrivilege = *S-1-5-32-544>>Wins8x64Def.inf
    Echo SeRemoteShutdownPrivilege = *S-1-5-32-544>>Wins8x64Def.inf
    Echo SeAuditPrivilege = *S-1-5-19,*S-1-5-20>>Wins8x64Def.inf
    Echo SeIncreaseQuotaPrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544>>Wins8x64Def.inf
    Echo SeIncreaseBasePriorityPrivilege = *S-1-5-32-544>>Wins8x64Def.inf
    Echo SeLoadDriverPrivilege = *S-1-5-32-544>>Wins8x64Def.inf
    Echo SeBatchLogonRight = *S-1-5-32-544,*S-1-5-32-551,*S-1-5-32-559>>Wins8x64Def.inf
    Echo SeServiceLogonRight = *S-1-5-80-0,*S-1-5-83-^0>>Wins8x64Def.inf
    Echo SeInteractiveLogonRight = Guest,*S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551>>Wins8x64Def.inf
    Echo SeSecurityPrivilege = *S-1-5-32-544>>Wins8x64Def.inf
    Echo SeSystemEnvironmentPrivilege = *S-1-5-32-544>>Wins8x64Def.inf
    Echo SeProfileSingleProcessPrivilege = *S-1-5-32-544>>Wins8x64Def.inf
    Echo SeSystemProfilePrivilege = *S-1-5-32-544,*S-1-5-80-3139157870-2983391045-3678747466-658725712-1809340420>>Wins8x64Def.inf
    Echo SeAssignPrimaryTokenPrivilege = *S-1-5-19,*S-1-5-20>>Wins8x64Def.inf
    Echo SeRestorePrivilege = *S-1-5-32-544,*S-1-5-32-551>>Wins8x64Def.inf
    Echo SeShutdownPrivilege = *S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551>>Wins8x64Def.inf
    Echo SeTakeOwnershipPrivilege = *S-1-5-32-544>>Wins8x64Def.inf
    Echo SeDenyNetworkLogonRight = Guest>>Wins8x64Def.inf
    Echo SeDenyInteractiveLogonRight = Guest>>Wins8x64Def.inf
    Echo SeUndockPrivilege = *S-1-5-32-544,*S-1-5-32-545>>Wins8x64Def.inf
    Echo SeManageVolumePrivilege = *S-1-5-32-544>>Wins8x64Def.inf
    Echo SeRemoteInteractiveLogonRight = *S-1-5-32-544,*S-1-5-32-555>>Wins8x64Def.inf
    Echo SeImpersonatePrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544,*S-1-5-6>>Wins8x64Def.inf
    Echo SeCreateGlobalPrivilege = *S-1-5-19,*S-1-5-20,*S-1-5-32-544,*S-1-5-6>>Wins8x64Def.inf
    Echo SeIncreaseWorkingSetPrivilege = *S-1-5-32-545,*S-1-5-90-^0>>Wins8x64Def.inf
    Echo SeTimeZonePrivilege = *S-1-5-19,*S-1-5-32-544,*S-1-5-32-545>>Wins8x64Def.inf
    Echo SeCreateSymbolicLinkPrivilege = *S-1-5-32-544,*S-1-5-83-^0>>Wins8x64Def.inf
    Echo [Version]>>Wins8x64Def.inf
    Echo signature="$CHICAGO$">>Wins8x64Def.inf
    Echo Revision=1>>Wins8x64Def.inf

    :RunInf
    :: Import 'Wins8x64Def.inf' with ADMIN Privileges, to modify UAC ConsentPromptBehaviorAdmin reg
    >nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%%\system32\config\system"
    IF '%Errorlevel%' NEQ '0' (
        echo Set objShell = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
        echo objShell.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%\getadmin.vbs"
       "%temp%%\getadmin.vbs"
        del "%temp%\getadmin.vbs"
        exit /B
        Secedit /configure /db secedit.sdb /cfg C:\Utilities\Wins8x64Def.inf /overwrite
        Goto:CheckUAC
    ) else (
        Secedit /configure /db secedit.sdb /cfg C:\Utilities\Wins8x64Def.inf /overwrite
        @echo off
    )
    :CheckUAC
    reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v ConsentPromptBehaviorAdmin | Find /i "0x5"
    Echo.
    If %ErrorLevel%==0 (
        Echo ConsentPromptBehaviorAdmin set to 'Prompt'
        Pause
        Del /Q C:\Utilities\Wins8x64Def.inf
        Goto:EOF
    ) else (
        Echo ConsentPromptBehaviorAdmin NOT set to default
        Pause
    )
    ENDLOCAL
    :EOF
    Exit

Domain PC harus diatur sebanyak mungkin oleh perangkat GPO. Mesin Workgroup / Standalone dapat diatur oleh skrip ini.

Ingat, prompt UAC akan muncul setidaknya sekali dengan BYOD workgroup PC (segera setelah peningkatan pertama ke 'Admin perms' diperlukan), tetapi karena kebijakan keamanan lokal dimodifikasi untuk penggunaan admin mulai saat ini, maka pop-up akan hilang.

Domain PC harus memiliki kebijakan GPO "ConsentPromptBehaviorAdmin" yang diatur dalam kebijakan "Penguncian" yang sudah Anda buat - seperti dijelaskan di bagian skrip 'REFERENSI'.

Sekali lagi, jalankan impor secedit.exe dari file '.inf' default jika Anda terjebak pada keseluruhan debat "To UAC or Not to UAC" :-).

btw: @boileau Periksa kegagalan Anda pada:

>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"

Dengan menjalankan hanya "% SYSTEMROOT% \ system32 \ cacls.exe" atau "% SYSTEMROOT% \ system32 \ config \ system" atau keduanya dari prompt perintah - dinaikkan atau tidak, periksa hasilnya di seluruh papan.

Cara lain untuk melakukan ini.

REM    # # # #      CHECKING OR IS STARTED AS ADMINISTRATOR     # # # # #

FSUTIL | findstr /I "volume" > nul&if not errorlevel 1  goto Administrator_OK

cls
echo *******************************************************
echo ***    R U N    A S    A D M I N I S T R A T O R    ***
echo *******************************************************
echo.
echo.
echo Call up just as the Administrator. Abbreviation can be done to the script and set:
echo.
echo      Shortcut ^> Advanced ^> Run as Administrator
echo.
echo.
echo Alternatively, a single run "Run as Administrator"
echo or in the Schedule tasks with highest privileges
pause > nul
goto:eof
:Administrator_OK

REM Some next lines code ...