[VBS] Modifier un les paramètres de l'AD

Modifier un les paramètres de l'AD [VBS] - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 12-05-2009 à 11:56:47    

Bonjour,
 
Je souhaiterais savoir si certains d'entre vous on déja essayé d'utiliser des script VBS pour modifier les informations des comptes active directory.
J'ai effectivement trouvé pas mal d'information la dessus sur internet, mais un problème subsiste : les droits de modifications.
 
En effet, je souhaite que chaque utilisateur modifie lui meme son compte en exécutant le script VBS sur son poste. Ma question est donc : un utilisateur a t-il les droits par défaut de modifier son compte et si oui comment ? Voici mon code de test :
 

Code :
  1. 'Initialisation pour un bon fonctionnement :
  2. LDAP_Path_User = ""
  3. call preparationLDAP()
  5. Set oUser=GetObject(LDAP_Path_User)
  6. oUser.put "title","blabla"
  7. oUser.SetInfo
  9. ' **********************Debut FONCTION preparationLDAP **********************
  10. sub preparationLDAP()
  11.  '#############################
  12.  'Find the current LDAP Name
  13.  '#############################
  14.  Set oRootDSE = GetObject("LDAP://RootDSE" )
  15.  Set oShell = WScript.CreateObject("WScript.Shell" )
  16.  sUserName = oShell.Environment("PROCESS" ).Item("username" )
  17.  Const ADS_PROPERTY_CLEAR = 1
  18.  Const ADS_NAME_INITTYPE_GC = 3
  19.  Const ADS_NAME_TYPE_NT4 = 3
  20.  Const ADS_NAME_TYPE_1779 = 1
  21.  strDNSDomain = oRootDSE.Get("defaultNamingContext" )
  22.  Set objTrans = CreateObject("NameTranslate" )
  23.  objTrans.Init ADS_NAME_INITTYPE_GC, ""
  24.  objTrans.Set ADS_NAME_TYPE_1779, strDNSDomain
  25.  strNetBIOSDomain = objTrans.Get(ADS_NAME_TYPE_NT4)
  26.  strNetBIOSDomain = Left(strNetBIOSDomain, Len(strNetBIOSDomain) - 1)
  27.  strUserNTName = Trim(LogonAccount)
  28.  objTrans.Set ADS_NAME_TYPE_NT4, strNetBIOSDomain & "\" & strUserNTName
  29.  If Err.Number <> 0 Then
  30.  On Error GoTo 0
  31.  Wscript.Echo "ERROR: Login not found in Active Directory: " & strUserNTName
  32.  Else
  33.  On Error GoTo 0
  34.  strUserDN = objTrans.Get(ADS_NAME_TYPE_1779)
  35.  LDAP_Name = "LDAP://" & strUserDN
  36.  End If
  37.  '#############################
  38.  'Find the current User in this LDAP
  39.  '#############################
  40.  On error resume next
  41.  Set objConnection = CreateObject("ADODB.Connection" )
  42.  objConnection.Open "Provider=ADsDSOObject;"
  43.  Set objCommand = CreateObject("ADODB.Command" )
  44.  objCommand.ActiveConnection = objConnection
  45.  objCommand.CommandText = "SELECT adspath FROM '" & LDAP_Name & "' WHERE objectCategory='user' AND sAMAccountName='" & sUserName & "'"
  46.  Set objRecordSet = objCommand.Execute
  47.  if (objRecordset.Fields("adspath" ) <> "" ) then
  48.  GetAdsPath = objRecordset.Fields("adspath" )
  49.  end if
  50.  objConnection.Close
  51.  LDAP_Path_User = GetAdsPath
  52. end sub
  53. ' **********************Fin FONCTION preparationLDAP **********************


 
J'ai un message d'erreur sur la ligne "SetInfo" qui indique que je n'ai pas les droit de le faire. Je précise que lorsque je fait des lectures sur l'AD, je n'ai pas de problèmes.
 
Merci !!

Reply

Marsh Posté le 12-05-2009 à 11:56:47   

Reply

Marsh Posté le 12-05-2009 à 13:34:35    

si il passe par l'aduc il a le droit ?

Reply

Marsh Posté le 12-05-2009 à 14:18:05    

je ne comprend pas bien ta réponse Je@nb. Car l'ADUC se trouve sur le serveur. Quand je suis connecté sur l'AD (enfin dans mon cas l'ADUC est sur le serveur Exchange), je suis connecté en Administrateur. Ce qui fait que j'ai forcément les droits.
 
Bon évidement, je me doute que dans des grandes organisations, cela ne fonctionne pas comme ca mais bon... Je ne suis pas expert en AD.
 
Comment puis-je tester qu'un utilisateur lambda puisse changer les paramètres de son compte (et uniquement de son compte) via l'ADUC ?
 
Merci !!

Reply

Marsh Posté le 12-05-2009 à 15:24:28    

Dans l'ADUC par exemple tu peux voir les ACL sur les objets utilisateurs, et regarder quel droit a l'objet SELF sur un compte user : par défaut y'a pas les droits d'ecriture général (ce qui est evidemment une bonne chose à ne pas modifier).

Reply

Marsh Posté le 12-05-2009 à 15:41:40    

Merci de ta réponse.
Donc en résumé, tu dit que ce que je souhaite faire n'est pas très sécurisé ? Car dans tout les cas il faudra effectivement que chaque utilisateur puisse avoir les droits de modification de ses informations. Sinon, mon script me dira toujours que je n'ai pas les droits.

Reply

Marsh Posté le 12-05-2009 à 15:51:39    

De base un user peut modifier certaines de ses infos, genre ses n° de téléphone, mais si tu lui donne un droit global sur lui même il peut faire des trucs mauvais point de vue sécu : rendre son mot de passe inexpirable, s'enlever son script de boot, changer ses options RAS, etc., et ce que tu veux faire demande a priori les droits complet sur l'objet user.

 

Tu veux que tes users fassent quoi exactement ?


Message édité par El Pollo Diablo le 12-05-2009 à 15:51:46
Reply

Marsh Posté le 12-05-2009 à 15:55:13    

Je souhaite qu'ils changent via le script VBS leur "title" comme indiqué dans le script ci dessus.  
 
Effectivement vu comme tu le dit il vaut mieux pas donner ces droits aux users !! Je pensais pas qu'ils pouvaient faire tout ca si on leur donnait ces droits !!
 

Reply

Marsh Posté le 12-05-2009 à 16:17:25    

Arf j'avais pas eu le courage de lire le script, c'était au bout de 3 lignes :D

 

Si c'est juste ça, t'as quand meme un peu de granularité sur les droits, si dans l'ACL d'un user tu donnes à SELF les droits d'ecriture sur public information/informations publiques, ça donne le droit de modifier le "title" mais pas tout, meme si personnellement y'a déjà quelques trucs que j'aimerais vraiment pas que mes users puissent bidouiller : http://msdn.microsoft.com/en-us/library/ms684396.aspx
A toi de voir, mais recuperer les infos de titre que les gens veulent et lancer un script en admin pour faire les modifs sur tout le monde d'un coup ça me parait plus judicieux.

 

Et si tu veux mettre ça en place, avant que ton script marche ça implique donc de changer les ACL de tous tes users existant et de ne pas oublier de le faire ensuite pour les nouveaux.


Message édité par El Pollo Diablo le 12-05-2009 à 16:27:23
Reply

Marsh Posté le 12-05-2009 à 16:32:54    

Qd je parlais de l'ADUC, tu peux installer l'ADUC sur une machine standard (dl et installer les administrative tools). Tu te log avec un user standard et tu regardes si tu peux modifier le champs Title comme ça directement.
 
Si oui ok c'est good, sinon un petit coup de dsacls ou de modif directement dans l'aduc devrait faire l'affaire (tu peux spécifier attribut par attribut les droits).

Reply

Marsh Posté le 12-05-2009 à 16:45:50    

Code :
  1. Set objSysInfo = CreateObject("ADSystemInfo" )
  2. strUserDN = objSysInfo.UserName
  3. strUserDN = Replace(strUserDN, "/", "\/" )
  4. Set objUser = GetObject("LDAP://" & strUserDN)
  6. objUser.put "title","blabla"
  7. objUser.SetInfo


 
Si tu veux plus court ;)

Reply

Marsh Posté le 12-05-2009 à 16:45:50   

Reply

Marsh Posté le 12-05-2009 à 16:53:35    

Merci Je@nb !! Effectivement je me doutait qu'il y avait plus cour pour récupéré les info LDAP d'un user masi je n'avais pas potassé ca car ca marchais !! Merci quand meme, je garde ca de coté !!

 

Mais le problème de droit est toujours le meme !!Je DL l'ADUC


Message édité par hyperman22 le 12-05-2009 à 16:54:33
Reply

Marsh Posté le 12-05-2009 à 17:28:49    

SInon, effectivement le champs est grisé dans l'ADUC !! J'essaye de modifier les droits sur l'attribut 'titre' maais cela ne dégrise pas mon champ titre... Il faut peut-etre attendre la réplication de l'AD... On verra demain !!
 
allé bonne soirée !

Reply

Marsh Posté le 12-05-2009 à 17:34:16    

Un F5 devrait suffire :)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed