Массовое изменение настроек пользователей в OU
 

Здравствуйте!
Очень нужна помощь экспертов в следующем вопросе.

Найти или написать скрипт, который в указанном OU Active Directory пробегает по всем учетным записям пользователей и устанавливает следующие параметры:
- запретить смену пароля пользователем;
- срок действия пароля не ограничен;
- хранить пароль, используемое обратимое шифрование;
- пароль = логин;
- включить в группу "Dynamic VLAN";
- исключить из группы "Domain Users";
- установить Primary Group = "Dynamic VLAN".

VB до завтра изучить точно не успею, поэтому обращаюсь к вам за помощью.

при нажатой кнопке шифт в ADUC выделяете всех нужных пользователей в OU - щелчок правой кнокой - свойства - выставляете, что нужно

на вскидку - есть несколько утилит dsquery , dsmode, dsadd, dsrm, csvde, ldifde.
пример dsquery user -inactive 8 | dsmod user -disabled yes.
Открываем командную строку на контроллере домена от имени учетной записи обладающей необходимыми правами и :
1) добавляем пользователей в группу :
dsquery user ou=Marketing,dc=microsoft,dc=com | dsmod group"cn=Marketing Staff,ou=Marketing,dc=microsoft,dc=com" -addmbr
2) логин=пароль
dsquery user ou=Marketing,dc=microsoft,dc=com | dsget user -samid | dsmod -pwd
3) запрет смены пароля, включаем обратимое шифрование, срок действия пароля не ограничен
dsquery user ou=Marketing,dc=microsoft,dc=com | dsmod user -canchpwd no -reversiblepwd yes -pwdneverexpires yes
по поводу смены основной группы:
http://blogs.technet.com/heyscriptin...ary-group.aspx
http://www.wisesoft.co.uk/scripts/vb...ary_group.aspx
4) удалить пользователей из группы Domain users :
dsquery user ou=Marketing,dc=microsoft,dc=com | dsmod group "CN=Domain Users,CN=Users,dc=microsoft,dc=com" -rmmbr

Вобще говоря подумайте, стоит ли удалять пользователей из группы "Domain Users"...

а в чем проблема с этим?

WildCat,
Вам придется вручную выставлять разрешения на общие ресурсы, принтеры и т.п.

а разве VLAN-ы это не позволяют?

Если Вы под VLAN подразумеваете то что описано в стандарте 802.1Q , то Вы что назыается "путаете теплое с мягким". VLAN-ми вы лишь позволите получать доступ одним пользователям и не получать другим, а как вы собираетесь контролировать уровень доступа к ресурсу ?
К примеру группа Domain Users по умолчанию является членом локальной группы Users на каждой клиентской машине в домене. Тоесть пользователи сразу получают некоторые разрешения по умолчанию, что упрощает задачи администрирования.

на dsmod ругается
исправила вот так:
теперь говорит, что не указано значение для pwd
а как его указать, вроде ж ему должно передаваться значение из dsget, или я чего-то не понимаю?

переменные в dsmod идут через $$ емнип.
наверно.

Кстати да, в хэлпе написано что можно через $username$ по крайней мере пути прописывать...
WildCat, попробуйте ;)
Кстати, перед всеми манипуляциями сделайте архив System State, чтоб потом если что AD восстановить можно было :)

советую использовать виртуалки для тестов.
проще и дешевле.

у меня тестовый домен :)

WildCat, дак что, у Вас все получилось ? :)

А как бы глянуть, что у них там в $username$ прописано?
Потому что dsmod рапортует, что пароль изменен, а какой стал пароль - непонятно...

имя для входа :)
"Подстановочная переменная $username$ (без учета регистра) может использоваться
вместо имени учетной записи SAM в значении параметров -webpg, -profile, -hmdir,
и -email."

значит с паролем не сработало :(

получилось пока только частично

Как раз таки сработало, проверьте, только без учета регистра - единственное, но думаю это можно юзерам объяснить :)
P.S. не зря же я cameron благодарность объявил ))))

там имя petya без регистра
пароль меняется, но на что - непонятно
проверяю через "запуск от имени"

кхм...
пароль стал $username$ %) (т.е. вот этот набор букв с долларами)
что я неправильно делаю?

Теперь в группу добавляется, но если хоть один из пользователей (в списке на добавление) уже в этой группе, то остальные не добавляются. С удалением та же история.
Ставлю -c та же история.

попробуйте в "" убрать $username$

там VBscript...
без него никак не получится?
(не знаю даже, с какой стороны к нему подступиться :( )

не помогает :(

Ковыряю vbscript
Запускаю через cmd
Когда идет команда WScript.Echo то вывод идет во всплывающее окошко, а не в консоль. В файл в итоге тоже не перенаправляется (через '>'). Как с этим бороться?
PS Или для этого надо было новую тему создать?
PPS Поиском не нашлось :( Не исключаю, что запрос неправильно составляю :(

при клике мышкой на скрипте используется парсер WScript
просто используйте парсер cscript и вывод будет в консоль
в командной строке пишем

а вобще говоря запись в файл можно произвести с помощью объекта Stream из библиотеки ADO например..
(см ADODB.Stream)

Вот ничего себе сила внушения! Заработало! (а вчера не работало 8-0)

в C:\Windows\System32 должен быть cscript.exe если он там есть - попробуйте его запустить в командной строке находясь в этом каталоге.

Можно ли как-то сделать дозапись в лог-файл? Сейчас пользуюсь '>'. Файл перезаписывается. Вроде бы где-то пробегало, что надо писать '>>' но почему-то не срабатывает - файл не перезаписывается, но и не дозаписывается.

Возник еще один вопрос в данной задаче.
По пункту "сделать, чтобы пароль = логин"
Устанавливаю в VBscript вот так:
Но есть одно НО. В домене присутствует политика сложности пароля (т.е. пароль не должен совпадать с логином и тп.) и, если она включена, то смена пароля не производится (логично).
Необходимо выполнить проверку, сменился ли пароль.
Делаю такую проверку
Не отрабатывает ни один из пунктов.
Где я косячу?

PS в начале скрипта прописываю

Bulk AD Users - полезная штука, позволяет изменять параметры "пачками", бесплатная после регистрации
http://www.wisesoft.co.uk/software/b...s/default.aspx

Может быть есть какие-то функции, позволяющие проверить, соответствует ли пароль политике безопасности (сложности пароля)?
Или может быть можно как-то проверить, сменился ли пароль?