Problème d'autorisation PowerShell / ADSI avec tâches liées à AD

Je travaille sur un script PS qui donnera aux users une interface graphique et quelques buttons pour cliquer pour effectuer des tâches de base telles que le déverouillage d'un count, l'activation / la désactivation, la modification des passwords et la destruction des process / annulation de l'user. Les pièces qui ne fonctionnent pas sont: activer / désactiver les users et modifier les passwords.

Tout d'abord, tout fonctionne comme un administrateur de domaine mais je ne peux pas faire de l'user un administrateur de domaine, alors ne suggère pas que 🙂

Voici la partie mot de passe:

$name = "osman" $Searcher = [ADSISearcher]"(sAMAccountName=$Name)" $Results = $Searcher.FindOne() $password = "pezevenk@321" [ssortingng]$adspath = $Results.Properties.adspath $enable = [ADSI]$adspath $enable.psbase.invoke("SetPassword", $password) $enable.psbase.CommitChanges() 

L'erreur est plutôt générique:

 Exception calling "Invoke" with "2" argument(s): "Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED))" At line:14 char:13 + $enable.psbase.invoke("SetPassword", $password) 

Maintenant, évidemment, j'ai essayé de donner les permissions appropriées à l'user avant même que j'aie tenté ceci: L'user avec lequel je l'utilise a les droits "réinitialiser le mot de passe" et "changer le mot de passe" délégué sur le dossier "Utilisateurs" en AD qui comprend tous les users.

Y a-t-il un moyen de voir exactement quelle permission je manque? Pouvez-vous penser à autre chose qui est nécessaire?

Modifier: Ce sont les permissions pour l'OU:

 "CN=Users,DC=domainname,DC=root,DC=com","All","User","ReadProperty, GenericExecute","Descendents","00000000-0000-0000-0000-000000000000","bf967aba-0de6-11d0-a285-00aa003049e2","InheritedObjectAceTypePresent","Allow","domainname\osman","False","ContainerInherit","InheritOnly" "CN=Users,DC=domainname,DC=root,DC=com","Pwd-Last-Set","User","ReadProperty, WriteProperty","Descendents","bf967a0a-0de6-11d0-a285-00aa003049e2","bf967aba-0de6-11d0-a285-00aa003049e2","ObjectAceTypePresent, InheritedObjectAceTypePresent","Allow","domainname\osman","False","ContainerInherit","InheritOnly" "CN=Users,DC=domainname,DC=root,DC=com","Lockout-Time","User","WriteProperty","Descendents","28630ebf-41d5-11d1-a9c1-0000f80367c1","bf967aba-0de6-11d0-a285-00aa003049e2","ObjectAceTypePresent, InheritedObjectAceTypePresent","Allow","domainname\osman","False","ContainerInherit","InheritOnly" "CN=Users,DC=domainname,DC=root,DC=com","User-Account-Control","User","WriteProperty","Descendents","bf967a68-0de6-11d0-a285-00aa003049e2","bf967aba-0de6-11d0-a285-00aa003049e2","ObjectAceTypePresent, InheritedObjectAceTypePresent","Allow","domainname\osman","False","ContainerInherit","InheritOnly" "CN=Users,DC=domainname,DC=root,DC=com","User-Force-Change-Password","User","ExtendedRight","Descendents","00299570-246d-11d0-a768-00aa006e0529","bf967aba-0de6-11d0-a285-00aa003049e2","ObjectAceTypePresent, InheritedObjectAceTypePresent","Allow","domainname\osman","False","ContainerInherit","InheritOnly" "CN=Users,DC=domainname,DC=root,DC=com","User-Change-Password","User","ExtendedRight","Descendents","ab721a53-1e2f-11d0-9819-00aa0040529b","bf967aba-0de6-11d0-a285-00aa003049e2","ObjectAceTypePresent, InheritedObjectAceTypePresent","Allow","domainname\osman","False","ContainerInherit","InheritOnly" "CN=Users,DC=domainname,DC=root,DC=com","User-Change-Password","User","ExtendedRight","Descendents","ab721a53-1e2f-11d0-9819-00aa0040529b","bf967aba-0de6-11d0-a285-00aa003049e2","ObjectAceTypePresent, InheritedObjectAceTypePresent","Allow","domainname\osman","True","ContainerInherit","InheritOnly" "CN=Users,DC=domainname,DC=root,DC=com","User-Force-Change-Password","User","ExtendedRight","Descendents","00299570-246d-11d0-a768-00aa006e0529","bf967aba-0de6-11d0-a285-00aa003049e2","ObjectAceTypePresent, InheritedObjectAceTypePresent","Allow","domainname\osman","True","ContainerInherit","InheritOnly" 

3 Solutions collect form web for “Problème d'autorisation PowerShell / ADSI avec tâches liées à AD”

Vous pouvez modifier l'original AD.msc et append des fonctionnalités comme vous le souhaitez.
Voici quelques liens:
Console AD personnalisée
Réinitialisation du mot de passe à droite
Clic droit débloqué
Ajouter des colonnes supplémentaires

La seule façon dont je sais qu'un user définit son propre mot de passe est cette command. Set-ADAccountPassword -Identity $ Nom -Reset -NewPassword (ConvertTo-SecureSsortingng $ Password -AsPlainText -force) -PassThru Il les requestra pour leur mot de passe actuel ou si vous laisserez NewPassword, il requestra les deux. Si vous essayez de donner une personne de type helpdesk à ces droits, assurez-vous de ne pas tester sur un count administratif car ils ne pourront jamais modifier le mot de passe sur un user administratif, ils sont protégés avec l'atsortingbut adminCount = 1. J'ai autorisé avec succès le personnel du service d'assistance modifie les passwords dans ADUC avec l'autorisation de changement de mot de passe sur l'unité d'organisation de l'user. Nous avons fini par acheter un produit pour permettre aux users de réinitialiser leurs propres passwords. Je sais que cela ne répond pas exactement à votre question, mais j'espère que certaines de ces informations vous aident.

J'ai remarqué le problème: l'user de destination "osman" J'étais en train de tester cela était un administrateur de domaine et apparemment, les administrateurs de domaine n'héritent pas de délégation (pas d'idée pourquoi, pas documenté autant que je le vois). Tous les autres non-administrateurs travaillent très bien! Merci pour toutes vos suggestions.

  • Comment gérer les journaux d'events de security pollués?
  • Le nouveau controller de domaine avec DNS dans Windows a une configuration de redirection
  • Réduction de Windows Server 2012 R2 Standard Eval to Essentials?
  • Sauvegarde des ordinateurs clients utilisant Windows Server ou un NAS?
  • État de connection de piste de pare-feu de Windows Server
  • Windows Server - une façon d'éviter le encryption des files?
  • Mount Windows Server 2012 DVD sur centos 7
  • Commutateur virtuel Windows Server 2012 R2
  • HP DL385 G7, lecteur HP LTO 6 + controller P431 + 2012R2?
  • Quelle est la taille de la page de memory par défaut de Windows 2012?
  • Migrer des règles de réécriture dans un sous-directory d'Apache vers IIS
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de réseau.