Wie erkenne ich, ob CMD als Administrator ausgeführt wird / über erhöhte Berechtigungen verfügt?

In einer Batchdatei möchte ich testen, ob ich mit Administrator- / erhöhten Berechtigungen ausgeführt werde.

Der Benutzername ändert sich nicht, wenn "Als Administrator ausführen" ausgewählt ist, sodass dies nicht funktioniert.

Wenn es einen universell verfügbaren Befehl gäbe, der keine Auswirkung hat, aber Administratorrechte erfordert, könnte ich diesen ausführen und nach einem Fehlercode suchen, um auf Berechtigungen zu testen. Bisher habe ich einen solchen Befehl nicht gefunden. Die Befehle, die ich gefunden habe, scheinen einen einzelnen, unspezifischen Fehlercode zurückzugeben, der auf alles hinweisen kann, und sie sind aus verschiedenen Gründen fehleranfällig.

Ich interessiere mich nur für Windows 7, obwohl die Unterstützung früherer Betriebssysteme nett wäre.

ADDENDUM : Für Windows 8 funktioniert dies nicht. sehen Sie stattdessen diese ausgezeichnete Antwort .

Diese Lösung finden Sie hier: http://www.robvanderwoude.com/clevertricks.php

AT > NUL
IF %ERRORLEVEL% EQU 0 (
    ECHO you are Administrator
) ELSE (
    ECHO you are NOT Administrator. Exiting...
    PING 127.0.0.1 > NUL 2>&1
    EXIT /B 1
)

Angenommen, das funktioniert nicht und da es sich um Win7 handelt, können Sie in Powershell Folgendes verwenden, wenn dies geeignet ist:

$principal = new-object System.Security.Principal.WindowsPrincipal([System.Security.Principal.WindowsIdentity]::GetCurrent())
$principal.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator)

Wenn nicht (und wahrscheinlich auch nicht, da Sie explizit Batch-Dateien vorgeschlagen haben), können Sie das oben Genannte in .NET schreiben und einen Exit-Code von einer Exe zurückgeben, der auf dem Ergebnis für Ihre Batch-Datei basiert.

Dieser Trick erfordert nur einen Befehl: Geben Sie net sessionin die Eingabeaufforderung ein.

Wenn Sie KEIN Administrator sind , erhalten Sie eine Nachricht, dass der Zugriff verweigert wird.

System error 5 has occurred.

Access is denied.

Wenn Sie ein Administrator sind , erhalten Sie eine andere Nachricht. Die häufigste ist:

There are no entries in the list.

Von MS Technet :

Bei Verwendung ohne Parameter zeigt net session Informationen zu allen Sitzungen mit dem lokalen Computer an.

Ich mag Rushyos Vorschlag, AT zu verwenden, aber dies ist eine andere Option:

whoami /groups | findstr /b BUILTIN\Administrators | findstr /c:"Enabled group" && goto :isadministrator

Mit diesem Ansatz können Sie auch zwischen einem Nicht-Administrator und einem nicht erhöhten Administrator unterscheiden, wenn Sie dies möchten. Nicht erhöhte Administratoren haben noch BUILTIN \ Administrators in der Gruppenliste, aber es ist nicht aktiviert.

Dies funktioniert jedoch nicht auf einigen nicht englischen Sprachsystemen. Versuchen Sie es stattdessen

whoami /groups | findstr /c:" S-1-5-32-544 " | findstr /c:" Enabled group" && goto :isadministrator

(Dies sollte unter Windows 7 funktionieren, bei früheren Versionen bin ich mir jedoch nicht sicher.)

Ziemlich genau das, was andere zuvor geschrieben haben, aber als Einzeiler, der am Anfang eines Stapelbefehls gesetzt werden kann. (Nun, normalerweise nach @echo aus.)

net.exe session 1>NUL 2>NUL || (Echo This script requires elevated rights. & Exit /b 1)

Der einfachste Weg, dies unter Vista, Win 7 und höher zu tun, besteht darin, Token-Gruppen aufzulisten und nach der aktuellen Integritätsstufe zu suchen (oder nach der Seite des Administrators, wenn nur die Gruppenmitgliedschaft wichtig ist):

Überprüfen Sie, ob wir erhöht laufen:

whoami /groups | find "S-1-16-12288" && Echo I am running elevated, so I must be an admin anyway ;-)

Überprüfen Sie, ob wir zu lokalen Administratoren gehören:

whoami /groups | find "S-1-5-32-544" && Echo I am a local admin

Überprüfen Sie, ob wir zu Domain-Administratoren gehören:

whoami /groups | find "-512 " && Echo I am a domain admin

Der folgende Artikel listet die Integritätsstufe auf, die SIDs von Windows verwenden: http://msdn.microsoft.com/en-us/library/bb625963.aspx

Hier ist eine kleine Modifikation von Harrys Antwort, die sich auf einen erhöhten Status konzentriert. Ich verwende dies am Anfang einer install.bat-Datei:

set IS_ELEVATED=0
whoami /groups | findstr /b /c:"Mandatory Label\High Mandatory Level" | findstr /c:"Enabled group" > nul: && set IS_ELEVATED=1
if %IS_ELEVATED%==0 (
    echo You must run the command prompt as administrator to install.
    exit /b 1
)

Das hat definitiv bei mir funktioniert und das Prinzip scheint solide zu sein; von Chris Jackson von MSFT :

Wenn Sie erhöht ausgeführt werden, enthält Ihr Token einen ACE mit der Bezeichnung "Obligatorisches Label \ High Mandatory Level".

die Lösung:

at >nul
if %ErrorLevel% equ 0 ( echo Administrator ) else ( echo NOT Administrator )

funktioniert nicht unter Windows 10

Für alle Windows-Versionen ist dies möglich:

openfiles >nul 2>&1
if %ErrorLevel% equ 0 ( echo Administrator ) else ( echo NOT Administrator )

Ich habe viele (die meisten?) Antworten gelesen und dann eine Bat-Datei entwickelt, die für mich in Win 8.1 funktioniert. Ich dachte, ich würde es teilen.

setlocal
set runState=user
whoami /groups | findstr /b /c:"Mandatory Label\High Mandatory Level" > nul && set runState=admin
whoami /groups | findstr /b /c:"Mandatory Label\System Mandatory Level" > nul && set runState=system
echo Running in state: "%runState%"
if not "%runState%"=="user" goto notUser
  echo Do user stuff...
  goto end
:notUser
if not "%runState%"=="admin" goto notAdmin
  echo Do admin stuff...
  goto end
:notAdmin
if not "%runState%"=="system" goto notSystem
  echo Do admin stuff...
  goto end
:notSystem
echo Do common stuff...
:end

Hoffe jemand findet das nützlich :)

Eine "Not-a-One-Liner" -Version von https://stackoverflow.com/a/38856823/2193477

@echo off
net.exe session 1>NUL 2>NUL || goto :not_admin
echo SUCCESS
goto :eof

:not_admin
echo ERROR: Please run as a local administrator.
exit /b 1

Ich weiß, dass ich zu spät zu dieser Party komme, aber hier ist mein einziger Liner, um die Verwaltung zu bestimmen.

Es hängt nicht von der Fehlerstufe ab, sondern nur von systeminfo:

for /f "tokens=1-6" %%a in ('"net user "%username%" | find /i "Local Group Memberships""') do (set admin=yes & if not "%%d" == "*Administrators" (set admin=no) & echo %admin%)

Je nach Administratorstatus des Benutzers wird entweder Ja oder Nein zurückgegeben ...

Außerdem wird der Wert der Variablen "admin" entsprechend auf "Ja" oder "Nein" gesetzt.

Wenn Sie als Benutzer mit Administratorrechten ausgeführt werden, wird die Umgebungsvariable Sitzungsname NICHT definiert und Sie haben beim Ausführen einer Batchdatei immer noch keine Administratorrechte.

Sie sollten den Befehl "net session" verwenden und nach einem Fehlerrückgabecode von "0" suchen, um die Administratorrechte zu überprüfen.

Beispiel; - Die erste Echo-Anweisung ist das Glockenzeichen net session >nul 2>&1 if not %errorlevel%==0 (echo echo You need to start over and right-click on this file, echo then select "Run as administrator" to be successfull. echo.&pause&exit)

Hier ist eine einfache Methode, die ich unter Windows 7 bis Windows 10 verwendet habe. Grundsätzlich verwende ich einfach den Befehl "IF EXIST", um nach dem Ordner Windows \ System32 \ WDI \ LogFiles zu suchen. Der WDI-Ordner ist bei jeder Installation von Windows ab mindestens 7 vorhanden und erfordert Administratorrechte für den Zugriff. Der WDI-Ordner enthält immer einen LogFiles-Ordner. Wenn Sie also "IF EXIST" im Ordner "WDI \ LogFiles" ausführen, wird "true" zurückgegeben, wenn Sie als Administrator ausgeführt werden, und "false", wenn Sie nicht als Administrator ausgeführt werden. Dies kann in einer Batchdatei verwendet werden, um die Berechtigungsstufe zu überprüfen und basierend auf diesem Ergebnis zu den gewünschten Befehlen zu verzweigen.

Hier ist ein kurzer Ausschnitt des Beispielcodes:

IF EXIST %SYSTEMROOT%\SYSTEM32\WDI\LOGFILES GOTO GOTADMIN
(Commands for running with normal privileges)

:GOTADMIN
(Commands for running with admin privileges)

Beachten Sie, dass bei dieser Methode davon ausgegangen wird, dass die Standardsicherheitsberechtigungen für den WDI-Ordner nicht geändert wurden (was in den meisten Situationen unwahrscheinlich ist, siehe jedoch die Einschränkung Nr. 2 unten). Selbst in diesem Fall müssen Sie lediglich den Code ändern, um nach einer anderen gemeinsamen Datei / einem anderen Ordner zu suchen, für die Administratorzugriff erforderlich ist (System32 \ config \ SAM ist möglicherweise ein guter alternativer Kandidat), oder Sie können sogar einen eigenen speziell dafür erstellen Zweck.

Es gibt jedoch zwei Einschränkungen bei dieser Methode:

1. Das Deaktivieren der Benutzerkontensteuerung führt wahrscheinlich dazu, dass ohnehin alles als Administrator ausgeführt wird.

2. Wenn Sie versuchen, den WDI-Ordner im Windows Explorer zu öffnen und dann auf "Weiter" klicken, wenn Sie dazu aufgefordert werden, werden permanente Zugriffsrechte für dieses Benutzerkonto hinzugefügt, wodurch meine Methode verletzt wird. In diesem Fall kann dies behoben werden, indem das Benutzerkonto aus den Sicherheitsberechtigungen für WDI-Ordner entfernt wird. Wenn der Benutzer aus irgendeinem Grund mit Windows Explorer auf den WDI-Ordner zugreifen MUSS, müssen Sie den Code ändern, um einen anderen Ordner zu überprüfen (wie oben erwähnt, kann es eine gute Wahl sein, einen eigenen Ordner speziell für diesen Zweck zu erstellen). .

Zugegeben, meine Methode ist nicht perfekt, da sie kaputt gehen kann, aber es ist eine relativ schnelle Methode, die einfach zu implementieren ist, gleichermaßen mit allen Versionen von Windows 7, 8 und 10 kompatibel ist und vorausgesetzt, ich beachte die genannten Einschränkungen war 100% effektiv für mich.

Funktioniert für Win7 Enterprise und Win10 Enterprise

@if DEFINED SESSIONNAME (
    @echo.
    @echo You must right click to "Run as administrator"
    @echo Try again
    @echo.
    @pause
    @goto :EOF
)