marcmarc 10 Geschrieben 16. Dezember 2009 Melden Geschrieben 16. Dezember 2009 Moin! Ich schreibe gerade ein Script für einen Srv2008 mit dem das Anlegen von Benutzern etc. automatisiert wird. Nachdem ich jetzt meine Schleifen und ein paar Zeilen zum auslesen einer CSV zusammengesetzt habe gehts ans AD und ich habe gleich ein Problem: Beim automatischen Anlegen einer OU bekomme ich einen Zugriff-verweigert-Fehler. Ich konnte das Problem auch soweit eingrenzen, dass mit Sicherheit sagen kann, es ist ein Berechtigungsproblem, da es nur mit einem extra angelegten Benutzer auftritt und als Administrator funktioniert es so wie es soll. Der Benutzer ist in den selben Gruppen wie der Administrator und kann im Server Manager auch OUs anlegen. Nach langer erfolgloser Googelei bin ich ratlos. Ich vermute mal es gibt irgendwo noch ne Richtlinie oder so. Wäre gut wenn ihr mir weiterhelfen könnt..
fluehmann 10 Geschrieben 16. Dezember 2009 Melden Geschrieben 16. Dezember 2009 Hallo marcmarc Wo und wie wird das Script ausgeführt. Ev. könnte UAC noch ein hinderniss sein. Oder das Script mal per runas /noprofile /netonly /user:domain\user versuchen zu starten. Wenn der Benutzer eine OU per ADUC anlegen kann, glaube ich nicht dass diese Recht per irgend eienr GPO oder sonst was ausgehebelt werden kann. Gruss fluehmann
NilsK 3.046 Geschrieben 16. Dezember 2009 Melden Geschrieben 16. Dezember 2009 Moin, das Problem wird mit Sicherheit UAC sein. Es gibt keine unterschiedlichen Zugriffsrechte auf das AD pro Applikation oder ähnliches, sondern es gelten immer die Berechtigungen des ausführenden Users. faq-o-matic.net Benutzerkontensteuerung (UAC) richtig einsetzen Gruß, Nils
marcmarc 10 Geschrieben 17. Dezember 2009 Autor Melden Geschrieben 17. Dezember 2009 Ich melde mich als Benutzer X an (s.o.) und für die VBS-Datei einfach mit Doppelklick aus. Müsste bei UAC nicht generell eine Abfrage nach Admin-Rechten kommen? Oder muss ich das irgendwie in meinem Script provozieren? Das mit Runas werde ich nochmal checken..
NilsK 3.046 Geschrieben 17. Dezember 2009 Melden Geschrieben 17. Dezember 2009 Moin, nein, eine UAC-Abfrage kommt nur, wenn sie in einer Anwendung explizit angefordert wurde (per Manifest) oder wenn Windows aufgrund spezieller Gegebenheiten erkennt, dass ein UAC-Prompt nötig ist (z.B. bei den meisten Installationsprogrammen). In anderen Fällen wird der Zugriff schlicht verweigert. Per Skript hast du m.W. keine Möglichkeit, einen UAC-Prompt anzufordern. Du könntest höchstens per Shell "whoami /groups" aufrufen und auswerten und dann ggf. mit einer eigenen Meldung zur Nutzung eines "Elevated CMD" auffordern. Wäre aber recht aufwändig. Oder aber du installierst dir die Elevation Power Toys und nutzt die schnelle Möglichkeit, ein Admin-CMD zu öffnen. Sicherheit: Neue Elevation PowerToys für Windows Vista Gruß, Nils
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden