Controlla se il prompt dei comandi corrente è stato avviato come amministratore

Sto cercando di scrivere uno script che accetta l'input dell'utente, quindi apporta modifiche a livello di sistema. Ho bisogno che questo sia molto generico, ma semplicemente, in alto, ne ho bisogno per verificare se viene eseguito come "Amministratore". Se non lo è, allora voglio visualizzare un messaggio per dirglielo; se lo è, voglio che continui. C'è un modo costante per verificarlo? Non sto cercando di iniziare una nuova sessione come amministratore, voglio solo rilevare se è attualmente in esecuzione come amministratore

Trovato su Stack Overflow :

@echo off
goto check_Permissions

:check_Permissions
echo Administrative permissions required. Detecting permissions...

net session >nul 2>&1
if %errorLevel% == 0 (
    echo Success: Administrative permissions confirmed.
) else (
    echo Failure: Current permissions inadequate.
)

pause >nul

Questo verifica un livello di integrità elevato. (funziona per Windows Vista e versioni successive)

@echo off

whoami /groups | find "S-1-16-12288" > nul

if %errorlevel% == 0 (
 echo Welcome, Admin
) else (
 echo Get lost, User
)

Molte, molte risposte a questa e molte altre domande su SE ( 1 , 2 , 3 per citarne alcune), tutte carenti in questo modo o in un altro, hanno chiaramente dimostrato che Windows non fornisce un'utilità integrata affidabile . Quindi, è tempo di distribuire il tuo.

Senza ulteriori hack sporchi:

Compilare il seguente programma (le istruzioni seguono) o ottenere una copia precompilata . Questo deve essere fatto solo una volta, quindi puoi copiarlo .exeovunque (ad es. Accanto alla Suite Sysinternals ).

Il codice funziona in Win2k + ¹ , sia con che senza UAC, dominio, gruppi transitivi, qualunque cosa - perché usa lo stesso modo del sistema stesso quando controlla le autorizzazioni. chkadminstampa "Admin" o "Non admin" e imposta il codice di uscita su 0 o 1, rispettivamente. L'uscita può essere soppressa con l' /qinterruttore.

chkadmin.c:

#include <malloc.h>
#include <stdio.h>
#include <windows.h>
#pragma comment (lib,"Advapi32.lib")

int main(int argc, char** argv) {
    BOOL quiet = FALSE;
    DWORD cbSid = SECURITY_MAX_SID_SIZE;
    PSID pSid = _alloca(cbSid);
    BOOL isAdmin;

    if (argc > 1) {
        if (!strcmp(argv[1],"/q")) quiet=TRUE;
        else if (!strcmp(argv[1],"/?")) {fprintf(stderr,"Usage: %s [/q]\n",argv[0]);return 0;}
    }

    if (!CreateWellKnownSid(WinBuiltinAdministratorsSid,NULL,pSid,&cbSid)) {
        fprintf(stderr,"CreateWellKnownSid: error %d\n",GetLastError());exit(-1);}

    if (!CheckTokenMembership(NULL,pSid,&isAdmin)) {
        fprintf(stderr,"CheckTokenMembership: error %d\n",GetLastError());exit(-1);}

    if (!quiet) puts(isAdmin ? "Admin" : "Non-admin");
    return !isAdmin;
}

Per compilare, esegui nel prompt dei comandi di Windows SDK:

cl /Ox chkadmin.c

(se si utilizza VS2012 +, sono necessarie ulteriori regolazioni se è necessario targetizzare 2k / XP )

_{Il metodo è fornito da /programming/4230602/detect-if-program-is-running-with-full-administrator-rights/4230908#4230908}

¹ _{MSDN afferma che le API sono XP + ma questo è falso. CheckTokenMembership è 2k + e l'altro è ancora più vecchio .}

Il modo più pulito per verificare i privilegi di amministratore utilizzando uno script CMD, che ho trovato, è qualcosa del genere:

@echo off

REM  Calling verify with no args just checks the verify flag,
REM   we use this for its side effect of setting errorlevel to zero
verify >nul

REM  Attempt to read a particular system directory - the DIR
REM   command will fail with a nonzero errorlevel if the directory is
REM   unreadable by the current process.  The DACL on the
REM   c:\windows\system32\config\systemprofile directory, by default,
REM   only permits SYSTEM and Administrators.
dir %windir%\system32\config\systemprofile >nul 2>nul

REM  Use IF ERRORLEVEL or %errorlevel% to check the result
if not errorlevel 1 echo has Admin privs
if     errorlevel 1 echo has only User privs

Questo metodo utilizza solo i builtin CMD.exe, quindi dovrebbe essere molto veloce. Verifica inoltre le effettive capacità del processo anziché verificare la presenza di SID o appartenenze a gruppi, quindi viene verificata l' autorizzazione effettiva . E questo funziona fino a Windows 2003 e XP. I normali processi utente o processi non pertinenti non riescono a sondare la directory, dove hanno successo come Admin o processi elevati.

Questo test ha esito negativo se al gruppo Everyone, BUILTIN\Userso ad altri gruppi simili viene concessa l'autorizzazione di lettura per systemprofile. Certo, si tratta di una configurazione non standard diversa da quella su macchine configurate come controller di dominio Windows che conferiscono diritti di lettura / esecuzione a 'AUTORITÀ NT \ Utenti autenticati' al profilo di sistema.