VBS-ACE auf OU erstellen

[dkdenz 11]

Hi

 

ich bin jetzt schon länger auf der Suche (und am rumprobieren), komme allerdings nicht weiter. ich bräuchte ein Script dass auf OUs bestimmte ACEs setzt, allerdings nicht die Standard Berechtigungen wie read/write sondern das was im AD "Properties" heisst, also zB:

 

Read Street

Write Steet

 

(quasi Berechtigung auf das Feld "Street" auf dem AD Objekt)

 

desweiteren, ist es möglich die Vererbung so zu setzen dass diese auf "Descendant User Objects" angewendet wird (also in der Properties der OU --> Security --> Advanced --> Permissions)?

 

das Script unten setzt zwar auf der OU "Test" Berechtigungen für den User "Testuser" allerdings auf "reset password", hab bis jetzt nix gefunden um die einzelnen Properties zu setzen. und die Vererbung klappt auch noch nicht

 

Const ADS_ACETYPE_ACCESS_ALLOWED_OBJECT = &H5
Const ADS_FLAG_OBJECT_TYPE_PRESENT = &H1
Const ADS_RIGHT_DS_CONTROL_ACCESS = &H100

Set objSdUtil = GetObject("LDAP://OU=TEST, OU=Finance, DC=fabrikam, DC=Com")
Set objSD = objSdUtil.Get("ntSecurityDescriptor")
Set objDACL = objSD.DiscretionaryACLSet

Set objAce = CreateObject("AccessControlEntry")
objAce.Trustee = "FABRIKAM\testuser"
objAce.AceFlags = 0
objAce.AceType = ADS_ACETYPE_ACCESS_ALLOWED_OBJECT
objAce.Flags = ADS_FLAG_OBJECT_TYPE_PRESENT
objAce.ObjectType = "{00299570-246d-11d0-a768-00aa006e0529}"
objAce.AccessMask = ADS_RIGHT_DS_CONTROL_ACCESS
objDACL.AddAce objAce

objSD.DiscretionaryAcl = objDACL
objSDUtil.Put "ntSecurityDescriptor", Array(objSD)
objSDUtil.SetInfo

 

 

danke euch im vorraus

[NilsK 2.934]

Moin,

 

nimm nicht VBS, da können viele Fehler entstehen, wenn du die ACE-Logik nicht selbst einhältst. Arbeite besser mit dsacls.exe, das ist zwar umständlich, aber kümmert sich um die Logik, und es ist auch supported.

 

faq-o-matic.net » Suchergebnisse » dsacls

 

Gruß, Nils

[dkdenz 11]

vielen dank für die Antwort, funktioniert wunderbar mit ner .bat :)