Problème d'autorisation PowerShell / ADSI avec tâches liées à AD

Je travaille sur un script PS qui donnera aux users une interface graphique et quelques buttons pour cliquer pour effectuer des tâches de base telles que le déverouillage d'un count, l'activation / la désactivation, la modification des passwords et la destruction des process / annulation de l'user. Les pièces qui ne fonctionnent pas sont: activer / désactiver les users et modifier les passwords.

Tout d'abord, tout fonctionne comme un administrateur de domaine mais je ne peux pas faire de l'user un administrateur de domaine, alors ne suggère pas que 🙂

Voici la partie mot de passe:

$name = "osman" $Searcher = [ADSISearcher]"(sAMAccountName=$Name)" $Results = $Searcher.FindOne() $password = "pezevenk@321" [ssortingng]$adspath = $Results.Properties.adspath $enable = [ADSI]$adspath $enable.psbase.invoke("SetPassword", $password) $enable.psbase.CommitChanges() 

L'erreur est plutôt générique:

 Exception calling "Invoke" with "2" argument(s): "Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED))" At line:14 char:13 + $enable.psbase.invoke("SetPassword", $password) 

Maintenant, évidemment, j'ai essayé de donner les permissions appropriées à l'user avant même que j'aie tenté ceci: L'user avec lequel je l'utilise a les droits "réinitialiser le mot de passe" et "changer le mot de passe" délégué sur le dossier "Utilisateurs" en AD qui comprend tous les users.

Y a-t-il un moyen de voir exactement quelle permission je manque? Pouvez-vous penser à autre chose qui est nécessaire?

Modifier: Ce sont les permissions pour l'OU:

 "CN=Users,DC=domainname,DC=root,DC=com","All","User","ReadProperty, GenericExecute","Descendents","00000000-0000-0000-0000-000000000000","bf967aba-0de6-11d0-a285-00aa003049e2","InheritedObjectAceTypePresent","Allow","domainname\osman","False","ContainerInherit","InheritOnly" "CN=Users,DC=domainname,DC=root,DC=com","Pwd-Last-Set","User","ReadProperty, WriteProperty","Descendents","bf967a0a-0de6-11d0-a285-00aa003049e2","bf967aba-0de6-11d0-a285-00aa003049e2","ObjectAceTypePresent, InheritedObjectAceTypePresent","Allow","domainname\osman","False","ContainerInherit","InheritOnly" "CN=Users,DC=domainname,DC=root,DC=com","Lockout-Time","User","WriteProperty","Descendents","28630ebf-41d5-11d1-a9c1-0000f80367c1","bf967aba-0de6-11d0-a285-00aa003049e2","ObjectAceTypePresent, InheritedObjectAceTypePresent","Allow","domainname\osman","False","ContainerInherit","InheritOnly" "CN=Users,DC=domainname,DC=root,DC=com","User-Account-Control","User","WriteProperty","Descendents","bf967a68-0de6-11d0-a285-00aa003049e2","bf967aba-0de6-11d0-a285-00aa003049e2","ObjectAceTypePresent, InheritedObjectAceTypePresent","Allow","domainname\osman","False","ContainerInherit","InheritOnly" "CN=Users,DC=domainname,DC=root,DC=com","User-Force-Change-Password","User","ExtendedRight","Descendents","00299570-246d-11d0-a768-00aa006e0529","bf967aba-0de6-11d0-a285-00aa003049e2","ObjectAceTypePresent, InheritedObjectAceTypePresent","Allow","domainname\osman","False","ContainerInherit","InheritOnly" "CN=Users,DC=domainname,DC=root,DC=com","User-Change-Password","User","ExtendedRight","Descendents","ab721a53-1e2f-11d0-9819-00aa0040529b","bf967aba-0de6-11d0-a285-00aa003049e2","ObjectAceTypePresent, InheritedObjectAceTypePresent","Allow","domainname\osman","False","ContainerInherit","InheritOnly" "CN=Users,DC=domainname,DC=root,DC=com","User-Change-Password","User","ExtendedRight","Descendents","ab721a53-1e2f-11d0-9819-00aa0040529b","bf967aba-0de6-11d0-a285-00aa003049e2","ObjectAceTypePresent, InheritedObjectAceTypePresent","Allow","domainname\osman","True","ContainerInherit","InheritOnly" "CN=Users,DC=domainname,DC=root,DC=com","User-Force-Change-Password","User","ExtendedRight","Descendents","00299570-246d-11d0-a768-00aa006e0529","bf967aba-0de6-11d0-a285-00aa003049e2","ObjectAceTypePresent, InheritedObjectAceTypePresent","Allow","domainname\osman","True","ContainerInherit","InheritOnly" 

3 Solutions collect form web for “Problème d'autorisation PowerShell / ADSI avec tâches liées à AD”

Vous pouvez modifier l'original AD.msc et append des fonctionnalités comme vous le souhaitez.
Voici quelques liens:
Console AD personnalisée
Réinitialisation du mot de passe à droite
Clic droit débloqué
Ajouter des colonnes supplémentaires

La seule façon dont je sais qu'un user définit son propre mot de passe est cette command. Set-ADAccountPassword -Identity $ Nom -Reset -NewPassword (ConvertTo-SecureSsortingng $ Password -AsPlainText -force) -PassThru Il les requestra pour leur mot de passe actuel ou si vous laisserez NewPassword, il requestra les deux. Si vous essayez de donner une personne de type helpdesk à ces droits, assurez-vous de ne pas tester sur un count administratif car ils ne pourront jamais modifier le mot de passe sur un user administratif, ils sont protégés avec l'atsortingbut adminCount = 1. J'ai autorisé avec succès le personnel du service d'assistance modifie les passwords dans ADUC avec l'autorisation de changement de mot de passe sur l'unité d'organisation de l'user. Nous avons fini par acheter un produit pour permettre aux users de réinitialiser leurs propres passwords. Je sais que cela ne répond pas exactement à votre question, mais j'espère que certaines de ces informations vous aident.

J'ai remarqué le problème: l'user de destination "osman" J'étais en train de tester cela était un administrateur de domaine et apparemment, les administrateurs de domaine n'héritent pas de délégation (pas d'idée pourquoi, pas documenté autant que je le vois). Tous les autres non-administrateurs travaillent très bien! Merci pour toutes vos suggestions.

  • Aucun server d'ouverture de session disponible pour traiter votre request
  • Windows Server 2012 R2 - Adresse IP externe du server de messagerie lorsque la machine virtuelle Azure démarre
  • PXE boot to diskless thin client
  • DFSR Crashing un cluster de files Windows 2012 R2 et provoquant une déconnection temporaire des composants SMB
  • Impossible d'initialiser le server WebSocket basé sur NodeJS en tant que service sur Windows Server 2012
  • Vous searchz des suggestions avec un programme qui n'autorise pas plusieurs sessions
  • Symptôme - CPU haute pour les termes et tout est extrêmement lent - Le server Win2k12 fonctionne sur la stack ouverte
  • Remote Office Domain Controller - Dossiers redirigés
  • Windows, IIS, Bureau à distance: après avoir désactivé les chiffrages non sécurisés pour ssl, je ne peux pas me connecter avec un ordinateur de bureau distant
  • Arrêtez la sauvegarde Windows de faire une exclusion de déduplication pour le lecteur de sauvegarde
  • Comment désactiver la politique locale "ne permettent pas la redirection de lecteur" n'utilisant pas l'interface user graphique?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de réseau.