Windows: Buscar administradores locales

Como administradores de sistemas, una de las configuraciones que debemos tener controladas en nuestra red son los usuarios con permisos de administrador local en los equipos

Un usuario con derechos de administrador local en un equipo podría causar daños importantes en el equipo, para evitar este problema siempre se recomienda que el usuario disponga de derechos de usuario y no de administrador en su equipo.

Sin embargo, existen aplicaciones que requieren derechos de administrador en el equipo. Este tipo de aplicaciones, posiblemente diseñadas de forma incorrecta, nos pueden forzar a que el usuario requiera permisos de administrador sobre el equipo.

En estos casos es buena idea documentar los usuarios que disponen de derechos de administrador en su equipo.

Para ello, podemos utilizar la GPMC (Group Policy Management Console) y crear GPOs (Políticas, preferencias o scripts) que otorguen los permisos de administrador a ciertos usuarios sobre ciertos equipos, de esta forma tendremos documentado en la GPMC los usuarios que disponen de derechos de administrador sobre sus equipos.

Si no disponemos de documentación, una opción es utilizar la siguiente herramienta gratuita:

Get Local Admins GUI

La herramienta puede descargarse se forma gratuita en:


Esta herramienta de entono gráfico, nos permite buscar administradores locales en todos los equipos.

Vista resultado de su ejecución:

Vista herramienta: Get Local Admins GUI

Veamos su funcionamiento:

Después de instalar la herramienta en un equipo añadido al dominio de Active Directory, ejecutamos la herramienta con credenciales de administrador del dominio.

La idea es que la herramienta disponga de los permisos suficientes para conectar a cada equipo del dominio y realizar una consulta de quienes pertenecen al grupo local "Administradores".

Si el usuario con el que ejecutamos la herramienta está dentro del grupo "Administradores del dominio", no tendremos ningún problema, la herramienta podrá conectar a todos los equipos del dominio.

Si el usuario con el que ejecutamos la herramienta no está dentro del grupo "Administradores del dominio", podemos ejecutar la herramienta como otro usuario: pulsamos mayúsculas y botón derecho sobre el acceso directo, a continuación veremos la opción de: "Ejecutar como otro usuario"

Una vez cargada la herramienta, veremos el botón "Import from Active Directory".

Con esta opción, podremos seleccionar la unidad organizativa o contenedor donde están ubicados los equipos, a partir de aquí, se generara una lista.

Al pulsar "Start", se realizarán pings a cada equipo y se conectará a cada uno de ellos en busca del grupo local "Administradores" y nos mostrará los miembros de este grupo.

También puede que nos aparezca la siguiente ventana con errores:

Vista herramienta: Get Local Admins GUI - Equipos no encontrados

Esto significa que una serie de equipos o bien están apagados o bien no responden a ping o bien han sido retirados del dominio y el objeto continua en Active Directory.

Una vez obtenidos los resultados, en la pestaña "Export" del programa, podremos exportar los resultados a CSV o HTML.

La herramienta, también nos ayudará a detectar cuentas locales con derechos de administrador tipo: "Admin", etc fruto de la instalación manual del sistema operativo.

4 comentarios: