marcmarc 10 Geschrieben 16. Dezember 2009 Melden Teilen Geschrieben 16. Dezember 2009 Moin! Ich schreibe gerade ein Script für einen Srv2008 mit dem das Anlegen von Benutzern etc. automatisiert wird. Nachdem ich jetzt meine Schleifen und ein paar Zeilen zum auslesen einer CSV zusammengesetzt habe gehts ans AD und ich habe gleich ein Problem: Beim automatischen Anlegen einer OU bekomme ich einen Zugriff-verweigert-Fehler. Ich konnte das Problem auch soweit eingrenzen, dass mit Sicherheit sagen kann, es ist ein Berechtigungsproblem, da es nur mit einem extra angelegten Benutzer auftritt und als Administrator funktioniert es so wie es soll. Der Benutzer ist in den selben Gruppen wie der Administrator und kann im Server Manager auch OUs anlegen. Nach langer erfolgloser Googelei bin ich ratlos. Ich vermute mal es gibt irgendwo noch ne Richtlinie oder so. Wäre gut wenn ihr mir weiterhelfen könnt.. Zitieren Link zu diesem Kommentar
fluehmann 10 Geschrieben 16. Dezember 2009 Melden Teilen Geschrieben 16. Dezember 2009 Hallo marcmarc Wo und wie wird das Script ausgeführt. Ev. könnte UAC noch ein hinderniss sein. Oder das Script mal per runas /noprofile /netonly /user:domain\user versuchen zu starten. Wenn der Benutzer eine OU per ADUC anlegen kann, glaube ich nicht dass diese Recht per irgend eienr GPO oder sonst was ausgehebelt werden kann. Gruss fluehmann Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 16. Dezember 2009 Melden Teilen Geschrieben 16. Dezember 2009 Moin, das Problem wird mit Sicherheit UAC sein. Es gibt keine unterschiedlichen Zugriffsrechte auf das AD pro Applikation oder ähnliches, sondern es gelten immer die Berechtigungen des ausführenden Users. faq-o-matic.net Benutzerkontensteuerung (UAC) richtig einsetzen Gruß, Nils Zitieren Link zu diesem Kommentar
marcmarc 10 Geschrieben 17. Dezember 2009 Autor Melden Teilen Geschrieben 17. Dezember 2009 Ich melde mich als Benutzer X an (s.o.) und für die VBS-Datei einfach mit Doppelklick aus. Müsste bei UAC nicht generell eine Abfrage nach Admin-Rechten kommen? Oder muss ich das irgendwie in meinem Script provozieren? Das mit Runas werde ich nochmal checken.. Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 17. Dezember 2009 Melden Teilen Geschrieben 17. Dezember 2009 Moin, nein, eine UAC-Abfrage kommt nur, wenn sie in einer Anwendung explizit angefordert wurde (per Manifest) oder wenn Windows aufgrund spezieller Gegebenheiten erkennt, dass ein UAC-Prompt nötig ist (z.B. bei den meisten Installationsprogrammen). In anderen Fällen wird der Zugriff schlicht verweigert. Per Skript hast du m.W. keine Möglichkeit, einen UAC-Prompt anzufordern. Du könntest höchstens per Shell "whoami /groups" aufrufen und auswerten und dann ggf. mit einer eigenen Meldung zur Nutzung eines "Elevated CMD" auffordern. Wäre aber recht aufwändig. Oder aber du installierst dir die Elevation Power Toys und nutzt die schnelle Möglichkeit, ein Admin-CMD zu öffnen. Sicherheit: Neue Elevation PowerToys für Windows Vista Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.