O script VBS não está sendo executado para um usuário específico

Navegue suas respostas
1

Eu tenho um GPO no lugar que executa scripts de login / logoff com êxito para a maioria dos usuários para atualizar as descrições dos usuários para os nomes de seus computadores. Isso funciona para todos os usuários, exceto por um, o erro que o usuário recebe é 

Line:14

Char:1

Error: Access is denied

Code: 80070005

Source: Active directory.

A linha 14 do script contém: objUser.SetInfo

As permissões do GPO permitem "Ler" para usuários autenticados.

O erro em si parece ser um problema de permissão genérica, mas o usuário que recebe o erro ainda deve ser um "usuário autenticado", pois pode fazer logon no Active Directory (corrija-me se estiver errado). A única coisa fora do comum com o usuário em questão é que ele é um membro de até 6 grupos, com os usuários do domínio sendo o grupo principal. Procurando orientação na solução de problemas.

O script em questão : 

Option Explicit
Const ADS_PROPERTY_UPDATE = 2 
Dim objSysInfo, objUser, objNetwork, strComputer, strDescription

Set objSysInfo = CreateObject("ADSystemInfo")
Set objUser = GetObject("LDAP://" & objSysInfo.UserName)

Set objNetwork = CreateObject("Wscript.Network")
strComputer = objNetwork.ComputerName

strDescription = "Logged on " & strComputer & " on " & Date

objUser.Put "description", strDescription
objUser.SetInfo
    
por HopelessN00b 05.01.2015 / 22:34

1 resposta

0

A menos que o que eu esteja trabalhando no momento para $ dayjob tenha obscurecido completamente minha visão ou julgamento, seu script tentará definir a descrição do objeto de usuário do Active Directory no computador em que o usuário fez logon ( e data eles fizeram isso.

Por padrão, os usuários normais não têm permissões para editar ou definir o campo de descrição em seu objeto de usuário do AD. Portanto, verifique as permissões desse objeto de usuário do AD e verifique se o usuário tem permissões de modificação no atributo de descrição. Vou colocar as probabilidades que esse usuário não tenha, mesmo que todos os outros usuários tenham as permissões para executar isso em seu objeto de usuário do AD.

Aceitando (um dos) meus usuários e ADSIedit como exemplo, eu preciso entrar no Properties , em seguida, em Advanced Security Configurações do objeto de usuário em questão e verificar se a permissão Write Description é permitido a SELF ou a um dos grupos dos quais o usuário é membro.

(Eu usei ADSIedit para fins de ter uma captura de tela significativa, mas honestamente, para o número de entradas de permissões na maioria dos objetos de usuário do AD, se fazendo essa verificação real, eu definitivamente despejaria a ACL no objeto para um arquivo de texto ou linha de comando e verifique através disso. Mais rápido, e muito menos túnel do carpo dessa maneira.)

    
por 05.01.2015 / 23:13

Tags

Como configurar o túnel ssh corretamente para que você possa acessar o site no servidor como localhost Roteamento de pacotes da interface Linux tun