ad.au3 - Fehler -2147352567 beim erstellen eines Benutzers

Mahagon

Hallo zusammen,

ich sitze momentan vor dem Problem das sich Benutzer mit der ad.au3 nicht erstellen lassen, wenn ich nicht mit "Administrator" angemeldet bin
Bin aber Domänen Admin und kann über die Active Directory-Benutzer und Computerverwaltung Benutzer erstellen, daher sollte es generell nicht an den Rechten liegen

Das Problem hatte wohl schon wer anders, jedoch ist der Thread nicht wirklich weitergeführt worden https://autoit.de/index.php/Thread/45619

Beispielskript:

AutoIt

#include "ad.au3"


$sAnzeigename = "Max Muster"
$sBenutzername = "max.muster"
$sKennwort = "s9u3f$sn!SFA"


$FQDNSplit = StringRegExp(@LogonDNSDomain, "([^.]+)", 3)
Global $FQDN_DN = ""
For $i = 0 To UBound($FQDNSplit) - 1
	$FQDN_DN &= ",DC=" & $FQDNSplit[$i]
Next






_AD_Open()


_AD_ErrorNotify(2)


$iValue = _AD_CreateUser("OU=WTS-Benutzer" & $FQDN_DN, $sBenutzername, $sAnzeigename)
If $iValue = 1 Then
	$iValue = _AD_SetPassword($sBenutzername, $sKennwort)
	If $iValue = 1 Then
		MsgBox(64, "Benutzer erstellen", "Der Benutzer '" & $sBenutzername & "' ist erfolgreich erstellt worden")
	ElseIf @error = 1 Then
		MsgBox(64, "Passwort setzen", "Benutzer '" & $sBenutzername & "' existiert nicht")
	Else
		MsgBox(64, "Passwort setzen", "Return code '" & @error & "' from Active Directory")
	EndIf
ElseIf @error = 1 Then
	MsgBox(64, "Benutzer erstellen", "Der Benutzer '" & $sBenutzername & "' existiert bereits")
ElseIf @error = 2 Then
	MsgBox(64, "Benutzer erstellen", "Die Organisationseinheit '" & "OU=WTS-Benutzer" & $FQDN_DN & "' existiert nicht")
ElseIf @error = 3 Then
	MsgBox(64, "Benutzer erstellen", "Der Wert für den Anzeigenamen (Nachname Vorname) fehlt")
ElseIf @error = 4 Then
	MsgBox(64, "Benutzer erstellen", "Value for $sAD_User is missing")
Else
	MsgBox(64, "Benutzer erstellen", "Return code '" & @error & "' from Active Directory")
EndIf


_AD_Close()

Alles anzeigen

Der ErrorNotify gibt folgendes Zurück

Code

AD UDF version = 1.4.3
@AutoItVersion = 3.3.14.2
@AutoItX64 = 1
@Compiled = 0
@OSArch = X64
@OSVersion = WIN_2012R2
Scriptline = 2242
NumberHex = 80020009
Number = -2147352567
WinDescription = Ausnahmefehler aufgetreten.
Description = Zugriff verweigert
Source = Active Directory

Alles anzeigen

Ich führe das ganze unter 2012 R2 aus.

dsadd user CN=max.muster,OU=WTS-Benutzer,DC=Domain,DC=local -samid john -pwd AFGI2dassf12
funktioniert z.B. auch ohne Probleme

Hoffe jemand hat da nen Tipp für mich

Gruß Daniel

Yaerox

Zitat von Mahagon

dsadd user CN=max.muster,OU=WTS-Benutzer,DC=Domain,DC=local -samid john -pwd AFGI2dassf12
funktioniert z.B. auch ohne Probleme

Habe das mit AutoIt noch nie versucht, nutze meist Perl zum arbeiten am AD, jedenfalls würde ich mich jetzt fragen:

- Wo führst du das aus? Im Skript machst du es ja scheinbar anders.
- Womit meldest du dich am AD an? Bzw. läuft das Tool unter deinem aktuellen Benutzer?
- Muss in das AD_Open echt kein Parameter? In Perl würde an dieser Stelle quasi die Benutzer und AD Daten hinkommen, mit denen ich mich anmelde. Alternativ gibts ne Funktion um den angemeldeten Benutzer zu ändern, also quasi ein "ChangeUser" gerade damit man nicht jede Akton auf dem AD mit einem "Root"-Benutzer macht.
- Hast du Leserechte auf dem AD? (Auch mit nem AutoIt-Skript testen)

Ich hoffe einige der Fragen können vll. n richtiges Stichwort geben.

Mahagon

Ich führ das mit dem selben Benutzer aus
AD_Open braucht keine parameter, alles andere geht damit auch (Anzeigenamen ändern etc)
Habe dem Benutzer testweise auch schon domäneadmin verpasst und die compilierte exe als admin ausgeführt
selbes Ergebnis.

Lese und schreibrechte habe ich natürlich
Kann ja in der ad verwaltung manuell user einrichten

**water**

_AD_CreateUser benötigt als 2. Parameter den SamAccountName. Willst Du wirklich einen Punkt im SamAccoutName (max.muster)?
In Deinem DSADD Beispiel verwendest Du ja "john" als SamAccountName.
In der AD UDF musst Du dann _AD_SetPassword verwenden um das Passwort des Users zu setzen.

Mahagon

Hm es scheint wohl irgendwo am User gelegen zu haben.
Habe das Profil neu erstellt ... funktioniert.

Frag mich was es war... aber egal... Hauptsache es klappt nun

Danke für eure Hilfe