th.janetscheck 10 Geschrieben 3. Mai 2006 Melden Teilen Geschrieben 3. Mai 2006 Servus Community, ich hätte da mal wieder ein Prblem: Ich habe ein VB-Script geschrieben, mit dem ich auf einem Windows 2k3-Domänencontroller gesperrte Benutzer wieder freigeben kann, und eins, mit dem ich Kennwörter zurücksetzen kann. Die beiden Scripts habe ich dann umgebaut und daraus ein VB-Progrämmchen gebastelt. Das funktioniert auch einwandfrei, allerdings nur, wenn ich das Programm (oder die Scripte) auf dem Domänencontroller ausführe (oder auf einem PC, auf dem das Active Directory installiert ist). Das Tool greift auf den lokalen WinNT-Pfad des ADS zu. Das Programm habe ich gebastelt, um es den Leuten vom 1st-Level-Support zur Verfügung zu stellen. Da die jedoch das AdminPack mit AD nicht installiert bekommen, müsste ich für jeden Benutzer den LDAP-Pfad im Programm hinterlegen. Das sind dann rund 500 Pfade, die auch mit jedem Verschieben eines Benutzers im AD oder mit jedem Löschvorgang mit angepasst werden müssten. Nun meine Frage: Kennt jemand von euch eine Möglichkeit, den LDAP-Pfad automatisch zu ermitteln? Das sollte so funktionieren, dass ich einen Benutzernamen in ein Textfeld eingebe, der Wert in einer Variablen gespeichert wird und dann überprüft wird, welcher Pfad zu dem Benutzer passt. Für eure Hilfe wäre ich sehr dankbar. Schon mal vielen Dank im Voraus, Gruß Tom ;-) Zitieren Link zu diesem Kommentar
GerhardG 10 Geschrieben 3. Mai 2006 Melden Teilen Geschrieben 3. Mai 2006 warum verwendest du nicht einfach die eingebaute deligations möglichkeit mit einer angepassten mmc konsole? Zitieren Link zu diesem Kommentar
th.janetscheck 10 Geschrieben 3. Mai 2006 Autor Melden Teilen Geschrieben 3. Mai 2006 Das ist der Selbe Grund, warum die 1st-Level-Supportler kein ADS installiert haben dürfen: Sie können einfach zu viel rum spielen, Sachen verschieben, ... In meinem Tool haben die Leutz dann nur die Möglichkeit, einen Benutzernamen einzutragen und dann zu sagen, ob sie das Benutzerkonto freischalten oder das Kennwort zurücksetzen wollen. Und mehr sollen sie auch nicht machen können (Vorgabe von oben). Gruß Tom Zitieren Link zu diesem Kommentar
GerhardG 10 Geschrieben 3. Mai 2006 Melden Teilen Geschrieben 3. Mai 2006 und mit welchen rechten läuft dein script? was wäre wenn einer der supportler dein script knackt und ein paar "erweiterungen" einbaut? ;) mit deligierungen kannst du einen user nur die notwendigen rechte geben. die mmc kannst du ebenfalls ohne aufwand auf kennwort/benutzer entsprerren einschränken. Zitieren Link zu diesem Kommentar
th.janetscheck 10 Geschrieben 3. Mai 2006 Autor Melden Teilen Geschrieben 3. Mai 2006 Das Tool zu knacken geht nicht so einfach, ist ein Programm (.exe). Wie gesagt, zuerst war es ein VB-Script, dann hab ich daraus ein Programm gebaut. Die Nutzer sehen nur ein GUI mit Buttons, nem Textfeld und den Optionen, was er ausführen will. Mit MMC hab ich das ausprobiert, es aber nicht hinbekommen. Ich bin zwar soweit, dass die Supportler nur Benutzer aus dem AD angezeigt bekommen, sie können diese aber per Drag and Drop auf andere OUs verschieben oder die ganze OU. Zitieren Link zu diesem Kommentar
Zearom 10 Geschrieben 3. Mai 2006 Melden Teilen Geschrieben 3. Mai 2006 Ist das n Visual Basic 6 Progrämmchen oder schon einer .Net-Anwendungen? Das Tool zu knacken geht nicht so einfach, ist ein Programm (.exe). decompiler lassen grüßen, darauf solltest du dich nicht verlassen. Zitieren Link zu diesem Kommentar
th.janetscheck 10 Geschrieben 3. Mai 2006 Autor Melden Teilen Geschrieben 3. Mai 2006 Das Tool ist in VB 6 geschrieben. Anbei mal ein Ausschnitt aus dem Quelltext: [...] Set usrobj = GetObject("WinNT://" & domain & "/" & userid) usrobj.SetPassword (pwd) [...] An dieser Stelle wird das Passwort des Benutzers auf die Variable pwd resetet. In der Variablen Pwd ist unser Standard-Kennwort hinterlegt. Ich habe das ganze auch schon mit einem LDAP-Pfad ausprobiert, das funktioniert auch, nur möchte ich halt nicht alle Pfade im Programm hinterlegen, da ich diese ja bei jeder Änderung im AD auch in meinem Progrämmchen abändern müsst :-/ Zitieren Link zu diesem Kommentar
th.janetscheck 10 Geschrieben 3. Mai 2006 Autor Melden Teilen Geschrieben 3. Mai 2006 Ist das n Visual Basic 6 Progrämmchen oder schon einer .Net-Anwendungen? decompiler lassen grüßen, darauf solltest du dich nicht verlassen. Gut, aber den müssten die User erst mal installieren, ohne Adminrechte? Außerdem brauch ich keine Angst zu haben, dass die damit was anfangen können, die sind froh, wenn sie einen PC an- und ausschalten können. Zitieren Link zu diesem Kommentar
th.janetscheck 10 Geschrieben 3. Mai 2006 Autor Melden Teilen Geschrieben 3. Mai 2006 Ich habs geschafft :-) Ich habe den lokalen WinNT-NameSpace auf den des Servers umgebogen, und schon funktioniert die Sache auch von anderen PCs aus. Trotzdem danke an alle, Gruß Tom ;-) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.