Помощник по Active Directory Services (ути­ли­та)

Прочитав несколь­ко дней назад пост Александра Трофимова, при­шел к сле­ду­ю­щим выво­дам. Возможна ситу­а­ция, когда потре­бу­ет­ся руч­ка­ми про­хо­дить мно­же­ство свойств, для того что­бы убрать “галоч­ки” “prevent from accidental deletion” в кон­со­ли Active Direstory Users and Computers (ADUC). Занятие это мутор­ное, и Александр отме­тил — при­дет­ся писать скрипт. Сам по себе скрипт — вещь не слож­ная, но во-пер­вых, его нуж­но на чем-то отла­дить, а во-вто­рых, ошиб­ка в нем может сто­ить доро­го­го. С дру­гой сто­ро­ны суще­ству­ет мно­же­ство про­блем, когда вирус, тро­ян или про­сто хакер (ино­гда злой быв­ший адми­ни­стра­тор) изме­ня­ет неко­то­рые вещи в AD таким обра­зом, что не сра­зу сооб­ра­зишь как вос­ста­но­вить.
Следует отме­тить, что есть ути­лит­ка: ADSI Edit, из соста­ва Windows Support Tools; кото­рая поз­во­ля­ет все это сде­лать, но в руч­ном режи­ме. То есть нахо­дить нуж­ный объ­ект и пра­вить его при­дет­ся во мно­гое кол­ли­че­ство дей­ствий, и не исклю­ча­ют­ся ошиб­ки (осо­бен­но если эту ути­лит­ку не зна­ешь, и тем более если име­ешь сла­бое пред­став­ле­ние о струк­ту­ре AD и LDAP вер­сии 3.
Также, зача­стую нуж­но что либо вос­ста­нав­ли­вать сроч­но, и тут еще не напи­сан­ные скрип­ты не помо­гут.
Поэтому решил напи­сать неболь­шую ути­лит­ку, кото­рая в авто­ма­ти­че­ском режи­ме может убрать раз­ре­ше­ния Deny Delete & Deny Delete Subtree для любо­го поль­зо­ва­те­ля (обыч­но это груп­па “Все”) и про­сто посмот­реть у кого такие раз­ре­ше­ния (точ­нее запре­ще­ния) име­ют­ся. Если ути­лит­ка будет вос­тре­бо­ва­на, допол­ню ее до нуж­но­го функ­ци­о­на­ла (имен­но в вопро­се авто­ма­ти­за­ции и мас­со­вом выпол­не­нии, ADSI Edit повто­рять не хочет­ся).
Страница про­грам­мы ADSHelper рас­по­ло­же­на тут. Прошу любить и жало­вать.

4 комментария к “Помощник по Active Directory Services (ути­ли­та)

  1. Утилита мне кажет­ся весь­ма интрес­ной. Особенно в части поис­ка аккка­ун­тов име­ю­щих повы­шен­ные пол­но­мо­чия. Будет полез­но при пери­о­ди­че­ском ауди­те AD.

  2. Есть встро­ен­ные сред­ства по про­вер­ке пол­но­мо­чий, но их лег­ко обой­ти. Поэтому об этом и заду­мал­ся.

  3. ДА, вещич­ка полез­ная, накру­тить бы в нее еще полей типа “Имя:” для кра­со­ты так­ска­зать, ну и само собой для инфар­ма­тив­но­сти пере­не­сти вывод команд­ный вниз, типо логи, сто­ти­сти­ка! И доба­вить воз­мож­ность редак­ти­ро­ва­ния тоже было бы непло­хо!

  4. Пингбэк: Помощник по Active Directory Services (обновление) | Clevelus

Оставьте комментарий

шестнадцать + пятнадцать =