Sprawdź, czy bieżący wiersz polecenia został uruchomiony jako administrator

Chcę napisać skrypt, który pobiera dane od użytkowników, a następnie wprowadza zmiany w całym systemie. Potrzebuję, aby było to bardzo ogólne, ale po prostu, u góry, muszę to sprawdzić, aby sprawdzić, czy jest uruchamiane jako „Administrator”. Jeśli tak nie jest, chcę wyświetlić komunikat, który im to powie; jeśli tak, to chcę, żeby trwało dalej. Czy istnieje stały sposób na sprawdzenie tego? Nie chcę zaczynać nowej sesji jako Administrator, chcę tylko sprawdzić, czy jest ona obecnie uruchomiona jako administrator

Znaleziono to na Przepełnienie stosu :

@echo off
goto check_Permissions

:check_Permissions
echo Administrative permissions required. Detecting permissions...

net session >nul 2>&1
if %errorLevel% == 0 (
    echo Success: Administrative permissions confirmed.
) else (
    echo Failure: Current permissions inadequate.
)

pause >nul

To sprawdza wysoki poziom integralności. (działa w systemie Windows Vista i nowszych)

@echo off

whoami /groups | find "S-1-16-12288" > nul

if %errorlevel% == 0 (
 echo Welcome, Admin
) else (
 echo Get lost, User
)

Wiele, wiele odpowiedzi na to i wiele innych pytań w SE ( 1 , 2 , 3, żeby wymienić tylko kilka), z których wszystkie są w ten czy inny sposób wadliwe, wyraźnie pokazały, że Windows nie zapewnia niezawodnego wbudowanego narzędzia . Czas więc wprowadzić własną wersję.

Bez dalszych brudnych hacków:

Skompiluj następujący program (instrukcje poniżej) lub uzyskaj wstępnie skompilowaną kopię . Tę czynność należy wykonać tylko raz, a następnie można skopiować .exewszystko (np. Wraz z pakietem Sysinternals ).

Kod działa w Win2k + ¹ , zarówno z UAC, jak i bez UAC, domeny, grup przechodnich, cokolwiek - ponieważ używa tego samego sposobu co sam system podczas sprawdzania uprawnień. chkadminwypisuje „Admin” lub „Non-admin” i ustawia kod wyjścia odpowiednio na 0 lub 1. Wyjście można stłumić /qprzełącznikiem.

chkadmin.c:

#include <malloc.h>
#include <stdio.h>
#include <windows.h>
#pragma comment (lib,"Advapi32.lib")

int main(int argc, char** argv) {
    BOOL quiet = FALSE;
    DWORD cbSid = SECURITY_MAX_SID_SIZE;
    PSID pSid = _alloca(cbSid);
    BOOL isAdmin;

    if (argc > 1) {
        if (!strcmp(argv[1],"/q")) quiet=TRUE;
        else if (!strcmp(argv[1],"/?")) {fprintf(stderr,"Usage: %s [/q]\n",argv[0]);return 0;}
    }

    if (!CreateWellKnownSid(WinBuiltinAdministratorsSid,NULL,pSid,&cbSid)) {
        fprintf(stderr,"CreateWellKnownSid: error %d\n",GetLastError());exit(-1);}

    if (!CheckTokenMembership(NULL,pSid,&isAdmin)) {
        fprintf(stderr,"CheckTokenMembership: error %d\n",GetLastError());exit(-1);}

    if (!quiet) puts(isAdmin ? "Admin" : "Non-admin");
    return !isAdmin;
}

Aby skompilować, uruchom w wierszu polecenia zestawu Windows SDK:

cl /Ox chkadmin.c

(w przypadku korzystania z VS2012 + potrzebne są dodatkowe korekty, jeśli trzeba kierować reklamy na 2k / XP )

_{Metoda została udostępniona dzięki https://stackoverflow.com/questions/4230602/detect-if-program-is-running-with-full-administrator-rights/4230908#4230908}

¹ _{MSDN twierdzi, że interfejsy API to XP +, ale to nieprawda. CheckTokenMembership wynosi 2k +, a drugi jest jeszcze starszy .}

Najczystszym sposobem sprawdzenia uprawnień administratora za pomocą skryptu CMD, który znalazłem, jest mniej więcej taki:

@echo off

REM  Calling verify with no args just checks the verify flag,
REM   we use this for its side effect of setting errorlevel to zero
verify >nul

REM  Attempt to read a particular system directory - the DIR
REM   command will fail with a nonzero errorlevel if the directory is
REM   unreadable by the current process.  The DACL on the
REM   c:\windows\system32\config\systemprofile directory, by default,
REM   only permits SYSTEM and Administrators.
dir %windir%\system32\config\systemprofile >nul 2>nul

REM  Use IF ERRORLEVEL or %errorlevel% to check the result
if not errorlevel 1 echo has Admin privs
if     errorlevel 1 echo has only User privs

Ta metoda używa tylko wbudowanych plików CMD.exe, więc powinna być bardzo szybka. Sprawdza również rzeczywiste możliwości procesu, zamiast sprawdzania identyfikatorów SID lub członkostwa w grupach, dlatego testowane jest skuteczne uprawnienie. I działa to już w Windows 2003 i XP. Normalne procesy użytkownika lub procesy nieokreślone zawodzą sondę katalogu, w przypadku której powiodły się procesy administracyjne lub podwyższone.

Ten test kończy się niepowodzeniem, jeśli grupa Everyone, BUILTIN\Userslub inna podobna grupa otrzyma uprawnienia do odczytu do profilu systemowego. To prawda, że ​​jest to niestandardowa konfiguracja inna niż na komputerach skonfigurowanych jako kontrolery domeny Windows, które dają uprawnienia „NT AUTHORITY \ Authentified Users” do odczytu / wykonania pliku systemowego.