我有一个在
Windows 2003上运行的域,在2000模式下.我正在尝试创建一个AD组,以向用户授予临时域管理员权限,以节省必须为其提供永久DA.
我在OU:Groups / Admin / Delegated Permissions中创建了一个AD组:g.Temp_DomainAdmin.
我有一个运行VBScript的计划任务,以从该组中删除所有用户.
该任务作为服务帐户运行,具有有限的权限:s.purge_temp_da
我已将OU的权限委派给服务帐户,以允许完全控制其下的组.
手动运行任务非常有效.但无论何时在午夜运行,它都会失败并显示“-2147024891 – 一般访问被拒绝错误”.查看g.Temp_DomainAdmin组会显示委派的权限已消失.
有任何想法吗?这是VBScript:
Option Explicit
Dim objRootDSE,strDomain,objGroup,objUser,strdistinguishedName,arrDnComponents
Const ADS_PROPERTY_DELETE = 4
' Retrieve domain information
Set objRootDSE = GetObject("LDAP://RootDSE")
strDomain = objRootDSE.Get("DefaultNamingContext")
' Bind to the group
Set objGroup = GetObject("LDAP://CN=G.ADM.Temp_DomainAdmin,OU=Delegated Permissions,OU=Admin,OU=Resource Access,OU=groups," & strDomain)
' Iterate through the user objects in the group
For Each objUser In objGroup.Members
on error resume next
' Get the users distinguishedName
strdistinguishedName = objUser.distinguishedName
wscript.echo "Removing " & objUser.cn
' Remove the user from the group
objGroup.PutEx ADS_PROPERTY_DELETE,"member",Array(strdistinguishedName)
objGroup.SetInfo
wscript.echo "Removed " & objUser.cn
if err.number <> 0 then
wscript.echo err.number & " - " & err.description
end if
on error goto 0
Next
wscript.echo "Done"
谢谢
您正在体验Active Directory的“adminSDHolder”和“SDProp”功能的影响.此功能的目的是将已知ACL应用于作为特殊保护组成员的安全主体(用户,组和计算机).您的“g.Temp_DomainAdmin”组作为“域管理员”的成员,已标记为“adminCount”值为“1”,现在受“adminSDHolder”的约束.当此线程运行时,“g.Temp_DomainAdmin”组中的ACL将重置为已知ACL. (Microsoft
has a more long-winded description of this functionality如果您想了解更多详细信息.)
原文链接:https://www.f2er.com/windows/367301.html您可以modify the adminSDHolder ACL允许您尝试执行的操作,但通常不建议您这样做.
由于您的脚本可以添加/删除“Domain Admins”组的成员,因此您最好只是以具有“Domain Admins”成员身份的用户身份运行该脚本,从而避免了为脚本委派任何权限的需要. (基本上,如果有人“拥有”脚本执行上下文,即使您尝试安排了委托,他们也可以使用脚本将自己添加到“域管理员”中.该委托使问题变得复杂并且没有提供真正的安全性. )
