Active Directory Funktionen - Neue Version 1.5.0.0 freigegeben!

Zitat von TheDude

Eine Frage zu AD_Open: Ein Rechner, der ins AD soll, hat ja noch keinerlei Login-Informationen des AD sondern lediglich einen User mit entsprechenden Rechten (Admin). Nun habe ich versucht, mich mit AD_Open(Username, Passwort, Domain) an der Domäne anzumelden. Dies erzeugte einen Fehler 6 der besagt, daß ich einen DC sowie ConfigParam angeben soll. DC ist mir ja soweit noch klar, aber was ist mit ConfigParam gemeint? Wenn ich nur Benutzername und Passwort angebe, dann bekomme ich einen Fehler in @Error "0" und in @Extended auch "0" ...

Eine Frage zu AD_CreateComputer: Hier kann ich machen was ich will. Das AD_Open ist erfolgreich, leider liefert mit AD_CreateComputer in @Error und @Extension jeweils nur den Wert "0" zurück. Was mache ich hier falsch? Der Rechnername ist der, den ich mit @ComputerName ermittle, der Anmeldename ist identisch mit dem bei AD_Open. Und die OU ist auch korrekt. Wenn ich den Rechner mit meinen Anmeldedaten manuell ins AD aufnehme, dann klappt alles. Auch mit dem NetDom.exe und den Anmeldedaten bzw. der OU funktioniert es. Insofern liegt es zumindest einmal nicht an fehlenden Rechten im AD, irgendetwas habe ich hier wohl falsch gesetzt. Ich bin mit meiner "Weisheit" ein wenig am Ende ...

In dem Zusammenhang (weil - soweit komme ich ja gar nicht): Gibt es etwas, daß ich bei AD_JoinDomain beachten müßte?

Zu _AD_Open: Du brauchst die komplette Palette an Parametern. Die Beschreibung für _AD_Open bringt folgendes Beispiel für die letzten 3 Parameter:

$sAD_DNSDomainParam = "DC=subdomain,DC=example,DC=com"
$sAD_HostServerParam = "servername.subdomain.example.com"
$sAD_ConfigurationParam = "CN=Configuration,DC=subdomain,DC=example,DC=com"

Du kannst Dir aber auch die Werte auf einem Computer der in der Domäne ist ausgeben lassen:

[autoit]

_AD_Open()
ConsoleWrite($sAD_DNSDomain & @CRLF)
ConsoleWrite($sAD_HostServer & @CRLF)
ConsoleWrite($sAD_Configuration & @CRLF)
_AD_Close()

[/autoit]

Die Fehlerbehandlung bei _AD_Open() ist - bedingt durch das MS Betriebssystem - derzeit mehr als suboptimal. Mit Windows 7 wird das besser. Sobald ich einen W7 Rechner in der Domäne in meine Finger kriege, wird die Fehlerbehandlung optimiert.

Zu _AD_JoinDomain: _AD_CreateComputer und _AD_JoinDomain gehören zusammen. Bei _AD_CreateComputer wird ein User/eine Gruppe definiert, der diesen Computer in die Domäne hängen darf. Bei _AD_JoinDomain muss dann dieser User bzw. ein User der Mitglied der angegebenen Gruppe ist spezifziert werden.
Der Computer wird in die durch _AD_Open definierte Domäne gehängt.

Das Thema ist etwas kompliziert, aber ich hoffe, dass ich die letzten Klarheiten beseitigen konnte.

Zitat von TheDude

... Das Problem liegt leider immer noch beim Abarbeiten der Funktion AD_CreateComputer(). Rechnername, Benutzername (mal mit, mal ohne Domäne for dem Account), sowie OU sind "eigentlich" ok. Wenn ich den Rechner mit diesen Parametern und NetDom.exe ins AD bringe, dann klappt dies auch wie erwartet. Hast Du evtl. hierfür noch einen Tipp für mich.

Kannst Du mir Deinen Funktionsaufruf von _AD_CreateComputer mit allen Parametern (bzw. den Inhalt der Variablen) mal zeigen?
Vielleicht liegt hier das Problem?
Andere Frage: Kannst Du @error und @extended nach dem Aufruf von _AD_CreteComputer ausgeben lassen? Vielleicht gibt das mehr Info.

Bei _AD_Open fällt mir das Format des 3. Parameters auf. Meiner Meinung nach müsste der Aufruf lauten:
_AD_Open("Domäne\MeinLoginName", "MeinPWD", "DC=Domäne,DC=XYZ,DC=com", "StdDC.Domäne.XYZ.com", "CN=Configuration,DC=Domäne,DC=XYZ,DC=com")

_AD_CreateComputer sieht gut aus. Wenn der Computer in der OU angelegt wird, die nachfolgende Rechtevergabe aber nicht klappt, dann sieht es so aus, als ob der User mit dem Du Dich beim AD angemeldet hast ("Domäne\MeinLoginName") nicht ausreichend Rechte auf dem AD hat.
Kannst Du _AD_Open mal mit den Credentials eines Domänen Admins aufrufen?

Die unterschiedliche Schreibweise der Benutzernamen bei _AD_Open und _AD_Createcomputer liegt daran, dass die Funktionen unterschiedliche Formen des Parameters akzeptieren (siehe Help Files zu den Funktionen). _AD_Open erlaubt Windows Login Name, NetBIOS Login Name und User Principal Name während _AD_CreateComputer einen SamAccountName für den User/die Gruppe benötigt.

Zitat von Micha_he

Ich musste selbst nach einiger Zeit feststellen, das ein "normaler" Domänenbenutzer bis max. 10 Computer zu einer Domäne hinzufügen darf ! Das war die Wucht. Lässt sich aber per Default-Domain-Policy" unterbinden.

Danke für die Info! Hast Du da eine Quelle im Internet? Ich würde das gerne als Kommentar in das UDF aufnehmen!

Micha_He hat das Problem erkannt! Danke!!
Ein angemeldeter User kann bis zu 10 Computer in die Domäne hängen. Fehlt ihm aber das Recht die ACL zu ändern, so wird zwar der Computer angelegt, die Rechte können jedoch nicht geändert werden und die Funktion bricht mit dem angegebenen Fehler ab.

Ich werde mal forschen, welches Recht benötigt wird, dann kann im Vorfeld darauf geprüft werden.

Um also Dein Problem abzuschliessen: Du hast zu wenig Rechte!

Also ich verstehe die Sache so:

NETDOM fügt einen PC in die Domäne ein - funktioniert bei Dir
_AD_CreateComputer fügt einen PC in die Domäne ein - funktioniert bei Dir
_AD_CreateComputer setzt danach Rechte auf dem definierten PC - funktioniert bei Dir nicht, da Du nicht das Recht hast die Rechte eines Objektes im AD zu ändern.

Ich denke, dass Du ein ganz "normaler" User bist (aus Sicht des AD). Ein normaler User hat per Default Group Policy das Recht bis zu 10 Computer in die Domäne aufzunehmen (guckst Du hier ). D.h. wenn Du 11 verschiedene Computer in die Domäne aufnehmen willst, dann stellt es Dich auch mit NETDOM auf.

_AD_CreateComputer tut genau das, was NETDOM auch tut - es fügt einen Computer in die Domäne ein. Sowohl NETDOM als auch _AD_CreateComputer machen das mit Deinem Account erfolgreich. Soweit so gut.

_AD_CreateComputer macht aber mehr als NETDOM. Nachdem der Computer angelegt ist, setzt es Rechte (nennen wir sie "Objekt-Rechte") auf dem AD-Objekt. Und um dies tun zu können, benötigst Du Rechte (nennen wir sie "AD-Rechte"). Was Dir fehlt sind die AD-Rechte.
Vermutlich bist Du ein reiner Leseuser.

Hi Dude,

die AutoIt-ler erweitern eine abgewandelte Funktion meist mit dem Suffic "EX" (wie extended). Daher mein Vorschlag:

[autoit]

Func _AD_CreateComputerEX($sAD_OU, $sAD_Computer, $sAD_User)

[/autoit][autoit][/autoit][autoit]

If Not _AD_ObjectExists($sAD_OU) Then Return SetError(1, 0, 0)
If _AD_ObjectExists("CN=" & $sAD_Computer & "," & $sAD_OU) Then Return SetError(2, 0, 0)
If Not _AD_ObjectExists($sAD_User) Then Return SetError(3, 0, 0)
If StringMid($sAD_OU, 3, 1) <> "=" Then $sAD_OU = _AD_SamAccountNameToFQDN($sAD_OU) ; sAMACccountName provided
If StringMid($sAD_User, 3, 1) = "=" Then $sAD_User = _AD_FQDNToSamAccountName($sAD_User) ; FQDN provided
Local $oAD_Container = _AD_ObjGet("LDAP://" & $sAD_HostServer & "/" & $sAD_OU)
Local $oAD_Computer = $oAD_Container.Create("Computer", "cn=" & $sAD_Computer)
$oAD_Computer.Put("sAMAccountName", $sAD_Computer & "$")
$oAD_Computer.Put("userAccountControl", BitOR($ADS_UF_PASSWD_NOTREQD, $ADS_UF_WORKSTATION_TRUST_ACCOUNT))
$oAD_Computer.SetInfo
If @error <> 0 Then Return SetError(@error, 0, 0)
Return 1

[/autoit][autoit][/autoit][autoit]

EndFunc

[/autoit]

Eventuell bereiten die beiden ".Put" Befehle noch Probleme. Musst Du ausprobieren. Wobei zumindest der sAMAccountName funktionieren sollte, denn das Feld wird ja dauernd benötigt. Falls es nicht funzt, teste doch mal die AD_Inhalte für den Computer nachdem Du ihn mit NETDOM in die Domäne gehängt hast.

_AD_JoinDomain benötigt den NetBIOS Name (da das ganze über WMI abgehandelt wird), also ohne "Domain\"

Viel Glück noch mit Deinem Script
Water

Pfffft - da haben wir ja nochmal Glück gehabt
Remote Support kann sich manchmal ganz schön ziehen - bin gerade an einem ähnlich komplexen Problem auf der englischen Site dran.
Gut, dass Dein Skript nun läuft!

Hi Dude,

nö, mit lokalen Gruppen hat das AD UDF nichts am Hut
Das AD UDF beinhaltet nur Funktionen um das AD zu manipulieren - _AD_JoinDomain und _AD_UnJoinDomain sind da fast schon eine Ausnahme.

Water