Изменение объектов АД от имени пользователя домена
Модератор: Модераторы
Сообщений: 3
• Страница 1 из 1
servilat » 10 апр 2007, 16:39
Добрый день!
Есть загрузочный скрипт который прописывает отображаемое имя пользователя в описание компьютера АД, в одном домене скрипт проходит нормально, в другом стопориться на строке objComp.SetInfo с ошибкой отказано в доступе.
Подскажите пожалуйста где можно настроить разрешения для этого случая.
пример скрипта внизу.
заранее спасибо всем.
Set WSHNetwork = WScript.CreateObject("WScript.Network")
'Определение имени машины юзера домена
NameUser = WshNetwork.UserName
NameComputer = WshNetwork.ComputerName
NameDomain = WshNetwork.UserDomain
Dicription_AD_Comp()
'модуль добавление описания в АД
Sub Dicription_AD_Comp()
Path = WSHNetwork.UserName
Set objSysInfo = CreateObject("ADSystemInfo")
strUserDN = objSysInfo.UserName
strCompDN = objSysInfo.ComputerName
Set objUser = GetObject("LDAP://" & strUserDN)
Set objComp = GetObject("LDAP://" & strCompDN)
if objComp.description=objUser.DisplayName then
else
objComp.description=objUser.DisplayName
objComp.SetInfo
end if
End Sub
Есть загрузочный скрипт который прописывает отображаемое имя пользователя в описание компьютера АД, в одном домене скрипт проходит нормально, в другом стопориться на строке objComp.SetInfo с ошибкой отказано в доступе.
Подскажите пожалуйста где можно настроить разрешения для этого случая.
пример скрипта внизу.
заранее спасибо всем.
Set WSHNetwork = WScript.CreateObject("WScript.Network")
'Определение имени машины юзера домена
NameUser = WshNetwork.UserName
NameComputer = WshNetwork.ComputerName
NameDomain = WshNetwork.UserDomain
Dicription_AD_Comp()
'модуль добавление описания в АД
Sub Dicription_AD_Comp()
Path = WSHNetwork.UserName
Set objSysInfo = CreateObject("ADSystemInfo")
strUserDN = objSysInfo.UserName
strCompDN = objSysInfo.ComputerName
Set objUser = GetObject("LDAP://" & strUserDN)
Set objComp = GetObject("LDAP://" & strCompDN)
if objComp.description=objUser.DisplayName then
else
objComp.description=objUser.DisplayName
objComp.SetInfo
end if
End Sub
sea » 13 апр 2007, 11:57
Запустить ADSIEdit.msc, взять какой нибудь объект "компьютер", сравнить разрешения на доступ к объекту в разных доменах.
Насколько я понял, скрипт выполняется от имени входящего юзера (т.к. уже есть его имя).
В таком случае, как минимум юзерам домена должно быть делегировано право изменения значений атрибутов объекта "компьютер" в соответствующей OU.
Не чревато ли?
Как сделаете, опишите плиз какие нужно давать минимальные права.
Насколько я понял, скрипт выполняется от имени входящего юзера (т.к. уже есть его имя).
В таком случае, как минимум юзерам домена должно быть делегировано право изменения значений атрибутов объекта "компьютер" в соответствующей OU.
Не чревато ли?
Как сделаете, опишите плиз какие нужно давать минимальные права.
Правильно настроенный бэкап значительно сокращает трафик форумов.
servilat » 13 апр 2007, 15:23
Насчет минимальных неуверен, но это помогает
добавить группу Пользователи домена(или друг. ) в Builtin\Операторы учета.
это вышло какбы следствием с настройки RIS сервера, ставилась задача устанавливать систему на клиентские компьютеры от имени пользователя домена. Для добавления компа к домену от пользователя пришлось пользователей ввести в группу операторов учета и в доменной политике разрешить подключение компа к домену пользователям домена.
добавить группу Пользователи домена(или друг. ) в Builtin\Операторы учета.
это вышло какбы следствием с настройки RIS сервера, ставилась задача устанавливать систему на клиентские компьютеры от имени пользователя домена. Для добавления компа к домену от пользователя пришлось пользователей ввести в группу операторов учета и в доменной политике разрешить подключение компа к домену пользователям домена.
Сообщений: 3
• Страница 1 из 1
Вернуться в Политики безопасности
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7