Jump to content

Fehler beim Ändern einer Benutzer-Eigenschaft im Active Directory


Direkt zur Lösung Gelöst von cj_berlin,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Bei den Benutzern in meiner Testdomäne möchte ich gerne das Erstellungsdatum ändern. Leider wird ein Fehler geworfen, wenn ich versuche, das Erstellungsdatum zu ändern. Aus der Dokumentation zum WhenCreated-Attribut lässt sich nicht entnehmen, ob das Attribut schreibgeschütz ist.

Zitat
Update Privilege This value is set by the system.

Wie kann das Skript mit System-Rechten ausgeführt werden?

 

$user = Get-ADUser -Identity 'John Doe' -Properties whenCreated
$user.whenCreated = [DateTime]::Now.AddDays(-90)
# Ausgabe: Ausnahme beim Festlegen von "whencreated": "Der Adapter kann den Wert der whencreated-Eigenschaft nicht festlegen."

$de = New-Object System.DirectoryServices.DirectoryEntry("LDAP://$($user.DistinguishedName)")
$de.whenCreated = [DateTime]::Now.AddDays(-90)
# $de.Properties['whenCreated'][0] = [DateTime]::Now.AddDays(-90)
$de.CommitChanges()
# Ausgabe: Ausnahme beim Aufrufen von "CommitChanges" mit 0 Argument(en):  "Es ist eine Beschränkungsverletzung aufgetreten.

 

Für jede Lösung bin ich dankbar.

Link zu diesem Kommentar
vor 29 Minuten schrieb tesso:

Das Attribut kannst du nicht beschreiben.

ein get-aduser administrator -prop * | get-member 

bringt Klarheit

 

Leider lassen sich Eigenschaften lastLogon und lastLogonTimestamp  auch nicht verändern. Lt. dieser Ausgabe darf ich doch schreibend auf die Eigenschaft zugreifen.

lastLogon                   Property              System.Int64 lastLogon {get;set;}                                                                          
lastLogonTimestamp          Property              System.Int64 lastLogonTimestamp {get;set;} 

 

vor 35 Minuten schrieb cj_berlin:

Nur aus Interesse: warum würdest Du so etwas wollen?

Weil ich das Objektalter oder die letzte Anmeldung in meinen Skripten überprüfe und die Bedingungen in den Skripten nicht ändern möchte. Ich dachte, dass es einfacher wäre, es entsprechend in der Testdomäne zu simulieren und die betreffende Objekteigenschaften zu verändern.

 

Link zu diesem Kommentar
  • Beste Lösung
Geschrieben (bearbeitet)

Re Ausgabe von Get-Member: vergiss es einfach :-)

Du kannst die Werte ins . Net-Objekt schreiben, und nur das sagt Dir die Ausgabe. Du kannst sie aber nicht ins Verzeichnis schreiben 

Re Bedingungen in Skripten verändern: das Zauberwort lautet "Parametrisierung".

Wenn Du dein Test-AD auf Teufel komm raus verbiegen willst, leistet Mimikatz DCShadow (online) oder DSInternals (offline) wertvolle Dienste.

bearbeitet von cj_berlin
Link zu diesem Kommentar
vor einer Stunde schrieb cj_berlin:

Re Ausgabe von Get-Member: vergiss es einfach :-)

Du kannst die Werte ins . Net-Objekt schreiben, und nur das sagt Dir die Ausgabe. Du kannst sie aber nicht ins Verzeichnis schreiben 

Danke für diesen Warnhinweis. Leider verwirrt es ein bißchen. Warum hat Mircosoft die Objekte-Eigenschaft in .NET oder in der ADSI-COM-Komponente nicht so implementiert wie die Attribute im Verzeichnisdienst? Aber das weiß wohl nur Mircosoft.

 

vor einer Stunde schrieb cj_berlin:

Re Bedingungen in Skripten verändern: das Zauberwort lautet "Parametrisierung".

Darauf bin ich gar nicht kommen. Meine Skripte werde ich dann gleich mal mit Parameter erweitern.

 

vor einer Stunde schrieb cj_berlin:

Wenn Du dein Test-AD auf Teufel komm raus verbiegen willst, leistet Mimikatz DCShadow (online) oder DSInternals (offline) wertvolle Dienste.

Meine Testdomäne möchte ich nicht unbedingt verbiegen, aber DCShadow und DSInternals werde ich mir mal anschauen.

Link zu diesem Kommentar
vor 3 Stunden schrieb ineedhelp:

Eigenschaft in .NET oder in der ADSI-COM-Komponente nicht so implementiert wie die Attribute im Verzeichnisdienst?

 

Weil das Framework (.NET) nicht weiß, was der Verzeichnisdienst dahinter (AD DS, AD LDS, irgendein LDAP) für Attributanforderungen hat. Du kannst die AD-Cmdlets ja genauso gegen einen AD LDS benutzen, und was dessen Schema so zu Attributen sagt, weiß vorher niemand :-)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...