Как определить, работает ли CMD от имени администратора / имеет ли он повышенные привилегии?

ДОБАВЛЕНИЕ: для Windows 8 это не сработает; см. вместо этого этот отличный ответ.

Нашел это решение здесь: http://www.robvanderwoude.com/clevertricks.php

AT > NUL
IF %ERRORLEVEL% EQU 0 (
    ECHO you are Administrator
) ELSE (
    ECHO you are NOT Administrator. Exiting...
    PING 127.0.0.1 > NUL 2>&1
    EXIT /B 1
)

Предполагая, что это не работает, и поскольку мы говорим о Win7, вы можете использовать в Powershell следующее, если это подходит:

$principal = new-object System.Security.Principal.WindowsPrincipal([System.Security.Principal.WindowsIdentity]::GetCurrent())
$principal.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator)

Если нет (и, вероятно, нет, поскольку вы явно предложили пакетные файлы), вы можете написать это в .NET и вернуть код выхода из exe на основе результата для использования вашим пакетным файлом.

Для этого трюка требуется всего одна команда: введите net session в командной строке.

Если вы НЕ администратор, вы получите сообщение об отказе в доступе.

System error 5 has occurred.

Access is denied.

Если вы ЯВЛЯЕТЕСЬ администратором, вы получите другое сообщение, наиболее распространенное из которых:

There are no entries in the list.

Из MS Technet:

При использовании без параметров сетевой сеанс отображает информацию обо всех сеансах с локальным компьютером.

Мне нравится предложение Рушио использовать AT, но это еще один вариант:

whoami /groups | findstr /b BUILTIN\Administrators | findstr /c:"Enabled group" && goto :isadministrator

Этот подход также позволит вам различать неадминистратора и администратора без повышенных прав, если вы захотите. Администраторы без повышенных прав по-прежнему имеют BUILTIN \ Administrators в списке групп, но он не включен.

Однако это не будет работать в некоторых системах, отличных от английского. Вместо этого попробуйте

whoami /groups | findstr /c:" S-1-5-32-544 " | findstr /c:" Enabled group" && goto :isadministrator

(Это должно работать в Windows 7, но я не уверен в более ранних версиях.)

В значительной степени то, что другие ставили раньше, но как один лайнер, который может быть помещен в начало пакетной команды. (Ну, обычно после @echo off.)

net.exe session 1>NUL 2>NUL || (Echo This script requires elevated rights. & Exit /b 1)

Самый простой способ сделать это в Vista, Win 7 и выше - это перечислить группы токенов и найти текущий уровень целостности (или sid администратора, если важно только членство в группе):

Проверяем, работаем ли мы на повышенных уровнях:

whoami /groups | find "S-1-16-12288" && Echo I am running elevated, so I must be an admin anyway ;-)

Проверим, принадлежим ли мы к локальным администраторам:

whoami /groups | find "S-1-5-32-544" && Echo I am a local admin

Проверяем, принадлежим ли мы к администраторам домена:

whoami /groups | find "-512 " && Echo I am a domain admin

В следующей статье перечислены идентификаторы безопасности, используемые окнами уровня целостности: http://msdn.microsoft.com/en-us/library/bb625963.aspx

Вот небольшая модификация ответа Гарри, которая фокусируется на повышенном статусе; Я использую это в начале файла install.bat:

set IS_ELEVATED=0
whoami /groups | findstr /b /c:"Mandatory Label\High Mandatory Level" | findstr /c:"Enabled group" > nul: && set IS_ELEVATED=1
if %IS_ELEVATED%==0 (
    echo You must run the command prompt as administrator to install.
    exit /b 1
)

Это определенно сработало для меня, и принцип кажется правильным; из Крис Джексон из MSFT:

Когда вы работаете с повышенными правами, ваш токен содержит ACE под названием Mandatory Label \ High Mandatory Level.

решение:

at >nul
if %ErrorLevel% equ 0 ( echo Administrator ) else ( echo NOT Administrator )

не работает под Windows 10

для всех версий Windows можно сделать так:

openfiles >nul 2>&1
if %ErrorLevel% equ 0 ( echo Administrator ) else ( echo NOT Administrator )

Я прочитал много (большинство?) Ответов, а затем разработал bat-файл, который у меня работает в Win 8.1. Думал, что поделюсь им.

setlocal
set runState=user
whoami /groups | findstr /b /c:"Mandatory Label\High Mandatory Level" > nul && set runState=admin
whoami /groups | findstr /b /c:"Mandatory Label\System Mandatory Level" > nul && set runState=system
echo Running in state: "%runState%"
if not "%runState%"=="user" goto notUser
  echo Do user stuff...
  goto end
:notUser
if not "%runState%"=="admin" goto notAdmin
  echo Do admin stuff...
  goto end
:notAdmin
if not "%runState%"=="system" goto notSystem
  echo Do admin stuff...
  goto end
:notSystem
echo Do common stuff...
:end

Надеюсь, кто-то сочтет это полезным :)

"Не-однострочная" версия https://stackoverflow.com/a/38856823/2193477

@echo off
net.exe session 1>NUL 2>NUL || goto :not_admin
echo SUCCESS
goto :eof

:not_admin
echo ERROR: Please run as a local administrator.
exit /b 1

Я знаю, что очень опаздываю на эту вечеринку, но вот моя единственная подсказка, чтобы определить админку.

Он не полагается на уровень ошибки, только на systeminfo:

for /f "tokens=1-6" %%a in ('"net user "%username%" | find /i "Local Group Memberships""') do (set admin=yes & if not "%%d" == "*Administrators" (set admin=no) & echo %admin%)

Он возвращает либо да, либо нет, в зависимости от статуса администратора пользователя ...

Он также устанавливает значение переменной «admin» равным да или нет соответственно.

Работает для Win7 Enterprise и Win10 Enterprise

@if DEFINED SESSIONNAME (
    @echo.
    @echo You must right click to "Run as administrator"
    @echo Try again
    @echo.
    @pause
    @goto :EOF
)

Если вы работаете как пользователь с правами администратора, тогда переменная среды SessionName НЕ будет определена, и у вас все еще нет прав администратора при запуске командного файла.

Вы должны использовать команду «net session» и поискать код возврата ошибки «0», чтобы проверить права администратора.

Пример; - первый оператор эха - это символ звонка net session >nul 2>&1 if not %errorlevel%==0 (echo echo You need to start over and right-click on this file, echo then select "Run as administrator" to be successfull. echo.&pause&exit)

Вот простой метод, который я использовал в Windows 7 - Windows 10. Обычно я просто использую команду «ЕСЛИ СУЩЕСТВУЕТ» для проверки папки Windows \ System32 \ WDI \ LogFiles. Папка WDI существует при каждой установке Windows как минимум с 7 и далее, и для доступа к ней требуются права администратора. В папке WDI всегда есть папка LogFiles. Таким образом, запуск «ЕСЛИ СУЩЕСТВУЕТ» в папке WDI \ LogFiles вернет истину, если запускается от имени администратора, и ложь, если запускается не от имени администратора. Это можно использовать в пакетном файле для проверки уровня привилегий и перехода к любым командам, которые вы хотите, на основе этого результата.

Вот краткий фрагмент примера кода:

IF EXIST %SYSTEMROOT%\SYSTEM32\WDI\LOGFILES GOTO GOTADMIN
(Commands for running with normal privileges)

:GOTADMIN
(Commands for running with admin privileges)

Имейте в виду, что этот метод предполагает, что разрешения безопасности по умолчанию не были изменены для папки WDI (что маловероятно в большинстве ситуаций, но см. Предостережение № 2 ниже). Даже в этом случае достаточно просто изменить код, чтобы проверить наличие другого общего файла / папки, требующего доступа администратора (System32 \ config \ SAM может быть хорошим альтернативным кандидатом), или вы даже можете создать свой собственный специально для этого цель.

Однако есть два предостережения относительно этого метода:

1. Отключение UAC, скорее всего, нарушит тот простой факт, что в любом случае все будет запускаться от имени администратора.

2. Попытка открыть папку WDI в проводнике Windows и затем щелкнуть «Продолжить» при появлении запроса добавит постоянные права доступа для этой учетной записи пользователя, что нарушит мой метод. Если это произойдет, это можно исправить, удалив учетную запись пользователя из разрешений безопасности папки WDI. Если по какой-либо причине пользователь ДОЛЖЕН иметь доступ к папке WDI с помощью проводника Windows, вам придется изменить код, чтобы проверить другую папку (как упоминалось выше, создание собственной папки специально для этой цели может быть хорошим выбором) .

Итак, по общему признанию, мой метод не идеален, поскольку его можно сломать, но это относительно быстрый метод, который легко реализовать, он в равной степени совместим со всеми версиями Windows 7, 8 и 10, и при условии, что я помню упомянутые предостережения, был на 100% эффективным для меня.