我有一个在
Windows 2003上运行的域,在2000模式下.我正在尝试创建一个AD组,以向用户授予临时域管理员权限,以节省必须为其提供永久DA.
我在OU:Groups / Admin / Delegated Permissions中创建了一个AD组:g.Temp_DomainAdmin.
我有一个运行VBScript的计划任务,以从该组中删除所有用户.
该任务作为服务帐户运行,具有有限的权限:s.purge_temp_da
我已将OU的权限委派给服务帐户,以允许完全控制其下的组.
手动运行任务非常有效.但无论何时在午夜运行,它都会失败并显示“-2147024891 – 一般访问被拒绝错误”.查看g.Temp_DomainAdmin组会显示委派的权限已消失.
有任何想法吗?这是VBScript:
Option Explicit Dim objRootDSE,strDomain,objGroup,objUser,strdistinguishedname,arrDnComponents Const ADS_PROPERTY_DELETE = 4 ' Retrieve domain information Set objRootDSE = Getobject("LDAP://RootDSE") strDomain = objRootDSE.Get("DefaultNamingContext") ' Bind to the group Set objGroup = Getobject("LDAP://CN=G.ADM.Temp_DomainAdmin,OU=Delegated Permissions,OU=Admin,OU=Resource Access,OU=groups," & strDomain) ' Iterate through the user objects in the group For Each objUser In objGroup.Members on error resume next ' Get the users distinguishedname strdistinguishedname = objUser.distinguishedname wscript.echo "Removing " & objUser.cn ' Remove the user from the group objGroup.PutEx ADS_PROPERTY_DELETE,"member",Array(strdistinguishedname) objGroup.SetInfo wscript.echo "Removed " & objUser.cn if err.number <> 0 then wscript.echo err.number & " - " & err.description end if on error goto 0 Next wscript.echo "Done"
谢谢
您正在体验Active Directory的“adminSDHolder”和“SDProp”功能的影响.此功能的目的是将已知ACL应用于作为特殊保护组成员的安全主体(用户,组和计算机).您的“g.Temp_DomainAdmin”组作为“域管理员”的成员,已标记为“adminCount”值为“1”,现在受“adminSDHolder”的约束.当此线程运行时,“g.Temp_DomainAdmin”组中的ACL将重置为已知ACL. (Microsoft
has a more long-winded description of this functionality如果您想了解更多详细信息.)
您可以modify the adminSDHolder ACL允许您尝试执行的操作,但通常不建议您这样做.
由于您的脚本可以添加/删除“Domain Admins”组的成员,因此您最好只是以具有“Domain Admins”成员身份的用户身份运行该脚本,从而避免了为脚本委派任何权限的需要. (基本上,如果有人“拥有”脚本执行上下文,即使您尝试安排了委托,他们也可以使用脚本将自己添加到“域管理员”中.该委托使问题变得复杂并且没有提供真正的安全性. )
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
