windows-server-2003 – Active Directory 2003

我有一个在 Windows 2003上运行的域,在2000模式下.我正在尝试创建一个AD组,以向用户授予临时域管理员权限,以节省必须为其提供永久DA.

我在OU：Groups / Admin / Delegated Permissions中创建了一个AD组：g.Temp_DomainAdmin.

我有一个运行VBScript的计划任务,以从该组中删除所有用户.

该任务作为服务帐户运行,具有有限的权限：s.purge_temp_da

我已将OU的权限委派给服务帐户,以允许完全控制其下的组.

手动运行任务非常有效.但无论何时在午夜运行,它都会失败并显示“-2147024891 – 一般访问被拒绝错误”.查看g.Temp_DomainAdmin组会显示委派的权限已消失.

有任何想法吗？这是VBScript：

Option Explicit
Dim objRootDSE,strDomain,objGroup,objUser,strdistinguishedname,arrDnComponents
Const ADS_PROPERTY_DELETE = 4
' Retrieve domain information
Set objRootDSE = Getobject("LDAP://RootDSE")
strDomain = objRootDSE.Get("DefaultNamingContext")
' Bind to the group
Set objGroup = Getobject("LDAP://CN=G.ADM.Temp_DomainAdmin,OU=Delegated Permissions,OU=Admin,OU=Resource Access,OU=groups," & strDomain)

' Iterate through the user objects in the group
For Each objUser In objGroup.Members

    on error resume next

    ' Get the users distinguishedname
    strdistinguishedname = objUser.distinguishedname
    wscript.echo "Removing " & objUser.cn

    ' Remove the user from the group
    objGroup.PutEx ADS_PROPERTY_DELETE,"member",Array(strdistinguishedname)
    objGroup.SetInfo
    wscript.echo "Removed " & objUser.cn

    if err.number <> 0 then
        wscript.echo err.number & " - " & err.description
    end if

    on error goto 0
Next
wscript.echo "Done"

谢谢

您正在体验Active Directory的“adminSDHolder”和“SDProp”功能的影响.此功能的目的是将已知ACL应用于作为特殊保护组成员的安全主体(用户,组和计算机).您的“g.Temp_DomainAdmin”组作为“域管理员”的成员,已标记为“adminCount”值为“1”,现在受“adminSDHolder”的约束.当此线程运行时,“g.Temp_DomainAdmin”组中的ACL将重置为已知ACL. (Microsoft has a more long-winded description of this functionality如果您想了解更多详细信息.)

您可以modify the adminSDHolder ACL允许您尝试执行的操作,但通常不建议您这样做.

由于您的脚本可以添加/删除“Domain Admins”组的成员,因此您最好只是以具有“Domain Admins”成员身份的用户身份运行该脚本,从而避免了为脚本委派任何权限的需要. (基本上,如果有人“拥有”脚本执行上下文,即使您尝试安排了委托,他们也可以使用脚本将自己添加到“域管理员”中.该委托使问题变得复杂并且没有提供真正的安全性. )

windows-server-2003 – Active Directory 2003 – 删除委派的权限

相关文章