Làm thế nào để phát hiện nếu CMD đang chạy với tư cách Quản trị viên / có các đặc quyền nâng cao?

Từ bên trong tệp hàng loạt, tôi muốn kiểm tra xem liệu tôi có đang chạy với đặc quyền Quản trị viên / nâng cao hay không.

Tên người dùng không thay đổi khi "Chạy với tư cách quản trị viên" được chọn, vì vậy điều đó không hoạt động.

Nếu có một lệnh phổ biến, không có hiệu lực nhưng yêu cầu đặc quyền quản trị, thì tôi có thể chạy lệnh đó và kiểm tra mã lỗi để kiểm tra đặc quyền. Cho đến nay, tôi đã không tìm thấy một lệnh như vậy. Các lệnh tôi đã tìm thấy dường như trả về một mã lỗi duy nhất, không cụ thể, có thể chỉ ra bất kỳ điều gì và chúng dễ bị lỗi vì nhiều lý do.

Tôi chỉ quan tâm đến Windows 7, mặc dù hỗ trợ các hệ điều hành trước đó sẽ rất tốt.

ADDENDUM : Đối với Windows 8, điều này sẽ không hoạt động; thay vào đó hãy xem câu trả lời xuất sắc này .

Tìm thấy giải pháp này tại đây: http://www.robvanderwoude.com/clevertricks.php

AT > NUL
IF %ERRORLEVEL% EQU 0 (
    ECHO you are Administrator
) ELSE (
    ECHO you are NOT Administrator. Exiting...
    PING 127.0.0.1 > NUL 2>&1
    EXIT /B 1
)

Giả sử điều đó không hoạt động và vì chúng ta đang nói về Win7, bạn có thể sử dụng những thứ sau trong Powershell nếu phù hợp:

$principal = new-object System.Security.Principal.WindowsPrincipal([System.Security.Principal.WindowsIdentity]::GetCurrent())
$principal.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator)

Nếu không (và có thể là không, vì bạn đã đề xuất tệp lô một cách rõ ràng) thì bạn có thể viết như trên trong .NET và trả về mã thoát từ exe dựa trên kết quả cho tệp lô của bạn để sử dụng.

Thủ thuật này chỉ yêu cầu một lệnh: gõ net session vào dấu nhắc lệnh.

Nếu bạn KHÔNG phải là quản trị viên , bạn có quyền truy cập bị từ chối thông báo.

System error 5 has occurred.

Access is denied.

Nếu bạn là quản trị viên , bạn sẽ nhận được một thông báo khác, thông báo phổ biến nhất:

There are no entries in the list.

Từ MS Technet :

Được sử dụng mà không có tham số, phiên net hiển thị thông tin về tất cả các phiên với máy tính cục bộ.

Tôi thích đề xuất sử dụng AT của Rushyo, nhưng đây là một lựa chọn khác:

whoami /groups | findstr /b BUILTIN\Administrators | findstr /c:"Enabled group" && goto :isadministrator

Cách tiếp cận này cũng sẽ cho phép bạn phân biệt giữa quản trị viên không phải quản trị viên và quản trị viên không cấp cao nếu bạn muốn. Quản trị viên không được nâng cao vẫn có BUILTIN \ Quản trị viên trong danh sách nhóm nhưng nó không được bật.

Tuy nhiên, điều này sẽ không hoạt động trên một số hệ thống ngôn ngữ không phải tiếng Anh. Thay vào đó, hãy thử

whoami /groups | findstr /c:" S-1-5-32-544 " | findstr /c:" Enabled group" && goto :isadministrator

(Điều này sẽ hoạt động trên Windows 7 nhưng tôi không chắc về các phiên bản trước đó.)

Khá nhiều thứ mà những người khác đã đặt trước đây, nhưng như một lớp lót duy nhất có thể được đặt ở đầu lệnh hàng loạt. (Chà, thường là sau khi @echo tắt.)

net.exe session 1>NUL 2>NUL || (Echo This script requires elevated rights. & Exit /b 1)

Cách dễ nhất để thực hiện việc này trên Vista, Win 7 trở lên là liệt kê các nhóm mã thông báo và tìm kiếm mức toàn vẹn hiện tại (hoặc sid quản trị viên, nếu chỉ tư cách thành viên nhóm là quan trọng):

Kiểm tra xem chúng tôi có đang chạy nâng cao không:

whoami /groups | find "S-1-16-12288" && Echo I am running elevated, so I must be an admin anyway ;-)

Kiểm tra xem chúng tôi có thuộc về quản trị viên địa phương hay không:

whoami /groups | find "S-1-5-32-544" && Echo I am a local admin

Kiểm tra xem chúng tôi có thuộc quản trị viên miền không:

whoami /groups | find "-512 " && Echo I am a domain admin

Bài viết sau liệt kê các cửa sổ SID cấp độ toàn vẹn sử dụng: http://msdn.microsoft.com/en-us/library/bb625963.aspx

Đây là một sửa đổi nhỏ trong câu trả lời của Harry tập trung vào trạng thái được nâng cao; Tôi đang sử dụng cái này khi bắt đầu tệp install.bat:

set IS_ELEVATED=0
whoami /groups | findstr /b /c:"Mandatory Label\High Mandatory Level" | findstr /c:"Enabled group" > nul: && set IS_ELEVATED=1
if %IS_ELEVATED%==0 (
    echo You must run the command prompt as administrator to install.
    exit /b 1
)

Điều này chắc chắn đã làm việc cho tôi và nguyên tắc dường như là đúng đắn; từ Chris Jackson của MSFT :

Khi bạn đang chạy ở mức cao, mã thông báo của bạn chứa ACE được gọi là Nhãn bắt buộc \ Mức bắt buộc cao.

giải pháp:

at >nul
if %ErrorLevel% equ 0 ( echo Administrator ) else ( echo NOT Administrator )

không hoạt động trong Windows 10

cho tất cả các phiên bản của Windows có thể làm như vậy:

openfiles >nul 2>&1
if %ErrorLevel% equ 0 ( echo Administrator ) else ( echo NOT Administrator )

Tôi đã đọc nhiều (hầu hết?) Câu trả lời, sau đó phát triển một tệp bat hoạt động cho tôi trong Win 8.1. Tôi nghĩ tôi sẽ chia sẻ nó.

setlocal
set runState=user
whoami /groups | findstr /b /c:"Mandatory Label\High Mandatory Level" > nul && set runState=admin
whoami /groups | findstr /b /c:"Mandatory Label\System Mandatory Level" > nul && set runState=system
echo Running in state: "%runState%"
if not "%runState%"=="user" goto notUser
  echo Do user stuff...
  goto end
:notUser
if not "%runState%"=="admin" goto notAdmin
  echo Do admin stuff...
  goto end
:notAdmin
if not "%runState%"=="system" goto notSystem
  echo Do admin stuff...
  goto end
:notSystem
echo Do common stuff...
:end

Hy vọng ai đó thấy điều này hữu ích :)

Phiên bản "không phải của một lớp lót" của https://stackoverflow.com/a/38856823/2193477

@echo off
net.exe session 1>NUL 2>NUL || goto :not_admin
echo SUCCESS
goto :eof

:not_admin
echo ERROR: Please run as a local administrator.
exit /b 1

Tôi biết mình thực sự đến muộn với bữa tiệc này, nhưng đây là một trong những điều tôi cần biết để xác định quản trị viên.

Nó không dựa vào mức độ lỗi, chỉ dựa vào systeminfo:

for /f "tokens=1-6" %%a in ('"net user "%username%" | find /i "Local Group Memberships""') do (set admin=yes & if not "%%d" == "*Administrators" (set admin=no) & echo %admin%)

Nó trả về có hoặc không, tùy thuộc vào trạng thái quản trị của người dùng ...

Nó cũng đặt giá trị của biến "admin" bằng có hoặc không tương ứng.

Nếu bạn đang chạy với tư cách người dùng có quyền quản trị viên thì biến môi trường SessionName sẽ KHÔNG được xác định và bạn vẫn không có quyền quản trị viên khi chạy một tệp hàng loạt.

Bạn nên sử dụng lệnh "net session" và tìm mã trả về lỗi "0" để xác minh quyền quản trị viên.

Thí dụ; - câu lệnh echo đầu tiên là ký tự chuông net session >nul 2>&1 if not %errorlevel%==0 (echo echo You need to start over and right-click on this file, echo then select "Run as administrator" to be successfull. echo.&pause&exit)

Đây là một phương pháp đơn giản tôi đã sử dụng trên Windows 7 đến Windows 10. Về cơ bản, tôi chỉ cần sử dụng lệnh "IF EXIST" để kiểm tra thư mục Windows \ System32 \ WDI \ LogFiles. Thư mục WDI tồn tại trên mọi bản cài đặt Windows từ ít nhất 7 trở đi và nó yêu cầu đặc quyền quản trị viên để truy cập. Thư mục WDI luôn có thư mục LogFiles bên trong nó. Vì vậy, chạy "IF EXIST" trên thư mục WDI \ LogFiles sẽ trả về true nếu chạy với tư cách quản trị viên và false nếu không chạy với tư cách quản trị viên. Điều này có thể được sử dụng trong một tệp hàng loạt để kiểm tra mức đặc quyền và phân nhánh cho bất kỳ lệnh nào bạn muốn dựa trên kết quả đó.

Đây là một đoạn mã ví dụ ngắn gọn:

IF EXIST %SYSTEMROOT%\SYSTEM32\WDI\LOGFILES GOTO GOTADMIN
(Commands for running with normal privileges)

:GOTADMIN
(Commands for running with admin privileges)

Hãy nhớ rằng phương pháp này giả định các quyền bảo mật mặc định chưa được sửa đổi trên thư mục WDI (điều này khó có thể xảy ra trong hầu hết các trường hợp, nhưng vui lòng xem cảnh báo # 2 bên dưới). Ngay cả trong trường hợp đó, nó chỉ đơn giản là sửa đổi mã để kiểm tra một tệp / thư mục chung khác yêu cầu quyền truy cập quản trị (System32 \ config \ SAM có thể là một ứng cử viên thay thế tốt) hoặc bạn thậm chí có thể tạo riêng của mình cho điều đó mục đích.

Tuy nhiên, có hai lưu ý về phương pháp này:

1. Vô hiệu hóa UAC có thể sẽ phá vỡ thực tế đơn giản rằng mọi thứ sẽ được chạy với tư cách quản trị viên.

2. Việc cố gắng mở thư mục WDI trong Windows Explorer và sau đó nhấp vào "Tiếp tục" khi được nhắc sẽ thêm quyền truy cập vĩnh viễn cho tài khoản người dùng đó, do đó phá vỡ phương pháp của tôi. Nếu điều này xảy ra, nó có thể được khắc phục bằng cách xóa tài khoản người dùng khỏi quyền bảo mật thư mục WDI. Nếu vì bất kỳ lý do gì mà người dùng PHẢI có thể truy cập vào thư mục WDI bằng Windows Explorer, thì bạn phải sửa đổi mã để kiểm tra một thư mục khác (như đã đề cập ở trên, việc tạo riêng của bạn cho mục đích này có thể là một lựa chọn tốt) .

Vì vậy, phải thừa nhận rằng phương pháp của tôi không hoàn hảo vì nó có thể bị hỏng, nhưng đó là một phương pháp tương đối nhanh, dễ thực hiện, tương thích như nhau với tất cả các phiên bản Windows 7, 8 và 10 và miễn là tôi lưu ý đến những lưu ý đã đề cập. 100% hiệu quả đối với tôi.

Hoạt động cho Win7 Enterprise và Win10 Enterprise

@if DEFINED SESSIONNAME (
    @echo.
    @echo You must right click to "Run as administrator"
    @echo Try again
    @echo.
    @pause
    @goto :EOF
)