Wie finde ich heraus, ob ein Benutzer Administrator ist?

Oft muss man herausfinden, ob ein Benutzer mit Administratorrechten arbeitet oder nicht. Dazu muss man wissen, dass lokale Administratorrechte genau dann (und nur dann) vorhanden sind, wenn der Benutzer Mitglied der lokalen Gruppe "Administratoren" ist. Dies kann allerdings auch dadurch gegeben sein, dass der Benutzer Mitglied einer anderen Gruppe ist, die ihrerseits in die Gruppe "Administratoren" aufgenommen wurde.

Der beste Weg, dies in einem Anmeldeskript oder auf andere Weise automatisiert herauszufinden, geht über das Access Token. Dies wird bei der Anmeldung generiert und entscheidet abschließend darüber, welche Gruppenmitgliedschaften ein Benutzer in der aktuellen Session hat.

Um das Access Token auszuwerten, eignet sich das Kommandozeilentool "whoami.exe" (bei WS2003 enthalten, sonst im Resource Kit). Dessen Ausgabe wird darauf geprüft, ob der SID der Admin-Gruppe enthalten ist:

   1: rem --- Admintest.bat ---

   2: whoami /groups | find "S-1-5-32-544" > nul

   3: if errorlevel 1 goto ende

   4: echo Benutzer %username% ist lokaler Administrator.

   5: :ende

Dieses Verfahren ist auch sprachneutral, weil es nach dem (stets einheitlichen) SID der Admin-Gruppe sucht.

Wenn es nur darum geht, in einer laufenden Session direkt am Bildschirm herauszufinden, ob der angemeldete Benutzer Administrator ist, gibt es auch noch einen schnellern Weg. Man klicke mit der rechten Maustaste auf den Start-Button. Wenn im Kontextmenü die Einträge "Öffnen – Alle Benutzer" und "Explorer – Alle Benutzer" auftauchen, ist ein Administrator angemeldet. (Danke für diesen Tipp an Roger Wassner.)