Toon posts:

[AD2008] Toevoegen users op n00b manier

Pagina: 1
Acties:

maandag 15 september 2008 14:13

Acties:

Verwijderd

Topicstarter
Een betere titel kon ik niet verzinnen ;)

Ik wil met jullie samen eens bomen over een volgende situatie. Een klant wil graag zelf users kunnen aanmaken in de Active Directory omgeving, gebaseerd op Windows Server 2008. Tevens weet de klant welke groepen hij moet koppelen aan de nieuwe user. Verder mag de klant zelf niets doen.

Nu kan dit op een aantal manieren:

Toegang tot AD-server via RDP
Het voordeel is dat de klant op elke werkplek zijn AD-beheer kan doen. Nadeel is dat de klant dus ook bij de rest van de settings kan. Uit beheersoogpunt niet het meest ideale voor ons.

Via MMC beheer van AD
In Windows Vista de AD beheren middels de MMC over een VPN-verbinding naar de AD-server in het datacenter. Nadeel is daar echter weer dat ook de rest van de AD kan worden aangepast, iets wat wij niet willen.

Nu heb ik al op Google gezocht naar diverse AD-tools om eigenlijk alleen het toevoegen, verwijderen en editten van users mogelijk te maken. Het enige wat ik vind zijn migratietools en verwante mogelijkheden.

Wie kan mij een stapje verder helpen?

maandag 15 september 2008 14:22

Acties:
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 06-02 13:24

mbaltus

Delegation of Control i.c.m. een ADUC MMC snap-in?

The trouble with doing something right the first time is that nobody appreciates how difficult it is

maandag 15 september 2008 14:22

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 26-01 15:54

mutsje

Certified Prutser

RDP met start program mmc.exe > dsa.msc. Rechten delegeren over de user OU dat de klant users mag aanmaken.
Dit natuurlijk wel nadat de klant een vpn opgezet heeft. je wilt niet zomaar RDP open zetten naar internet. Denk dat je in die richting moet gaan zoeken.

maandag 15 september 2008 14:35

Acties:

Verwijderd

Topicstarter
Er komt een site-to-site VPN te liggen naar het datacenter, dus dat is geen probleem.

maandag 15 september 2008 15:04

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Maak een aparte interface waarin je scripted te werk gaat.

Ik geef als het even kan $user geen toegang tot MMC snapins.
Dat verhoogt alleen maar het risico op fouten, en je moet de desbetreffende OU's gaan delegeren voor beheer voor die specifieke accounts.

Door zelf een vaste interface te bieden waarbij de 'beheerder' alleen de parameters in kan vullen die jouw script biedt beperk je de risico's op fouten ook nog eens.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 15 september 2008 15:38

Acties:

Verwijderd

Topicstarter
alt-92 schreef op maandag 15 september 2008 @ 15:04:
Maak een aparte interface waarin je scripted te werk gaat.

Ik geef als het even kan $user geen toegang tot MMC snapins.
Dat verhoogt alleen maar het risico op fouten, en je moet de desbetreffende OU's gaan delegeren voor beheer voor die specifieke accounts.

Door zelf een vaste interface te bieden waarbij de 'beheerder' alleen de parameters in kan vullen die jouw script biedt beperk je de risico's op fouten ook nog eens.
Daar zat ik inderdaad ook aan te denken. Nu hebben we wel enige scriptingervaring in huis voor dit soort zaken, maar dat gaat er weer net boven. Eigenlijk ben ik op zoek naar zo'n tool die dat op de achtergrond uitvoert, maar vooralsnog heb ik die nog niet gevonden.

maandag 15 september 2008 16:33

Acties:

Verwijderd

zelf webinterface bouwen.
producten die dit kunnen, maar zeker niet gratis:
- netiq dra
- quest (ken hun pakket niet zo goed, maar ik denk dat ze hier wel een oplossing voor hebben).

maandag 15 september 2008 17:23

Acties:

Verwijderd

Topicstarter
Het hoeft niet gratis. Ik ga de producten eens goochelen, bedankt!

maandag 15 september 2008 19:02

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

NetIQ DRA vereist overigens wel de navenante infrastructuur (extra servers, DB koppelingen).
Buiten de licentiekosten dus....
Als dit slechts voor één klant is die in de maand een paar accounts aanmaakt of muteert zijn dergelijke commerciele pakketten vaak overkill.
Verwijderd schreef op maandag 15 september 2008 @ 15:38:
Nu hebben we wel enige scriptingervaring in huis voor dit soort zaken, maar dat gaat er weer net boven. Eigenlijk ben ik op zoek naar zo'n tool die dat op de achtergrond uitvoert, maar vooralsnog heb ik die nog niet gevonden.
Mwah, zo ingewikkeld is het eigenlijk ook weer niet.

Je hebt een front-end, middle-tier en backend structuur waarbij je front-end (je interface) zo eenvoudig kan zijn als een HTA of een ASP.NET webpagina.
Je kunt er actielogging in verwerken (wie drukt welk knopje in) en de echte acties laat je door scripts aan de hand van de gegeven parameters die je van tevoren bepaald hebt (OU, groepen, naamgeving) aanmaken door een serviceaccount met beperkte rechten.

Desnoods een formulier waar je door middel van vinkjes de toe te voegen groepen selecteert.
Uiteraard kun je altijd externe expertise hiervoor inschakelen om zoiets in elkaar te kloppen...

[ Voor 84% gewijzigd door alt-92 op 15-09-2008 19:12 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 17 september 2008 13:00

Acties:

Verwijderd

Topicstarter
Bedankt voor de tips. De scripting is echter te hoog gegrepen. Inmiddels zijn we bezig met ADManager Plus:
http://manageengine.adven...tails.html#Editioncompare

Kan precies wat ik wil. Bedankt voor alle input, dankzij de handreikingen alhier hebben we dit product kunnen vinden.

woensdag 17 september 2008 17:19

Acties:
  • Giga_Bjorn
  • Registratie: Augustus 2005
  • Laatst online: 30-09-2025

Giga_Bjorn

Ik heb zo een situatie gehad maar dan met Windows 2003 en als volgt opgelost: klant 'account operator' gemaakt en het Windows 2003 Admin pack op zijn PC gezet.

Mogelijk werkt het ook met Windows 2008

Download Windows 2003 Admin Pack
How to use Adminpak.msi to install a specific server administration tool in Windows

Ik zit niet links, ik zit niet rechts, ik zit recht achter voor mijn pc.

vrijdag 19 september 2008 08:11

Acties:
  • beekware
  • Registratie: Mei 2002
  • Laatst online: 08-02 18:52

beekware

To Experience The Unexpected..

Misschien is dit wat, een HTA pagina? Zie http://www.visualbasicscript.com/m_3296/mpage_9/key_/tm.htm

Laatste zelf ook opzoek naar zoiets, delegatie zit er niet in maar het aanmaken van accounts gaat wel automatisch. Voor ons zelf hebben hebben we er enkele zaken toegevoegd, create home profile dir met rechten en set user properties in AD.

Quote script van website:
[/align]<html>
<HTA:APPLICATION
APPLICATIONNAME="Account Creation"
SCROLL="no"
SINGLEINSTANCE="yes"
WINDOWSTATE="normal"
>
<head>
<title>User Account Creation Form</title>
<style type="text/css">
<!--
.style3 {font-size: 13px}
body,td,th {
font-family: Arial, Helvetica, sans-serif;
}
.style2 { font-family: Arial, Helvetica, sans-serif;
font-size: 13.5pt;
color: #CC6600;
font-weight: bold;
}
.style5 {font-size: small; color: #FF0000; }
.style6 {color: #FF0000}
-->
</style> [/align] [/align]<script type="text/vbscript">
Sub CreateAccount [/align] [/align]strUser = TextBox0.Value
If strUser = "" Then
MsgBox "You're missing required fields.",64, "Alert"
Exit Sub
End If [/align] [/align]strFirst = TextBox1.Value
If strFirst = "" Then
MsgBox "You're missing required fields",64, "Alert"
Exit Sub
End If [/align] [/align]strInitial = TextBox2.Value [/align] [/align]strLast = TextBox3.Value
If strLast = "" Then
MsgBox "You're missing required fields",64, "Alert"
Exit Sub
End If [/align] [/align]strDisplay = strLast & ", " & strFirst [/align] [/align]Set objConnection = CreateObject("ADODB.Connection")
objConnection.Open "Provider=ADsDSOObject;" [/align] [/align]Set objCommand = CreateObject("ADODB.Command")
objCommand.ActiveConnection = objConnection [/align] [/align]objCommand.CommandText = _
"<GC://dc=XXXX,dc=XXXX,dc=XXXX,dc=com>;(&(objectCategory=Person)(objectClass=user)" & _
"(samAccountName=" & strUser & "));samAccountName;subtree" [/align] [/align]Set objRecordSet = objCommand.Execute [/align] [/align]If objRecordSet.RecordCount = 0 Then [/align] [/align]Else
MsgBox "The User Account already exists.",48,"Alert"
Exit Sub
End If [/align] [/align]objConnection.Close [/align] [/align]Const ADS_UF_ACCOUNTDISABLE = 2
Const ADS_PROPERTY_UPDATE = 2 [/align] [/align]Set objRootDSE = GetObject("[link=http://www.visualbasicscript.com/ldap://rootDSE]LDAP://rootDSE[/link]")
strContainer = "ou=test,ou=test,ou=Users,ou=User Accounts"
Set objOU = GetObject("LDAP://" & strContainer & "," & _
objRootDSE.Get("defaultNamingContext"))
Set objUser = objOU.Create("User", "cn=" & strUser)
objUser.Put "sAMAccountName", LCase(strUser)
objUser.SetInfo [/align] [/align]objUser.Put "givenName", strFirst [/align] [/align]If strInitial <> "" Then
objUser.Put "initials", strInitial
End If [/align] [/align]objUser.Put "sn", strLast
objUser.Put "displayName", strDisplay [/align] [/align]objUser.SetPassword "password"
objUser.Put "pwdLastSet", 0 [/align] [/align]intUAC = objUser.Get("userAccountControl")
If intUAC And ADS_UF_ACCOUNTDISABLE Then
objUser.Put"userAccountControl", intUAC Xor ADS_UF_ACCOUNTDISABLE
End If
objUser.SetInfo [/align] [/align]End Sub [/align] [/align]Sub Reload
Location.Reload(True)
End Sub [/align] [/align]Sub bodyLoaded()
window.ResizeTo 600,510 ' WIDTH, HEIGHT
End Sub [/align] [/align]</script>
</head>
<body onLoad="bodyLoaded()">
<p><img src="/images/logo.gif" width="189" height="46"></p>
<p class="style2">Account Creation Page.</p>
<table width="289" border="0" align="left">
<tr>
<td width="89"><span class="style5">*</span>Login ID: </td>
<td width="144"><input type="text" name="textbox0"></td>
</tr>
<tr>
<td><span class="style5">*</span>First Name:</td>
<td><input type="text" name="textbox1"></td>
</tr>
<tr>
<td>Middle Initial: </td>
<td><input type="text" name="textbox2"></td>
</tr>
<tr>
<td><span class="style5">*</span>Last Name: </td>
<td><input type="text" name="textbox3"></td>
</tr>
</table>
<p> </p>
<p> </p>
<p> </p>
<p><br>
<input type="button" name="Submit" value="Submit" onClick="CreateAccount">
</p>
<p>The login ID will have an initial password of password. </p>
<p>The new employee will also be requiered to change their password at first logon. </p>
<p class="style3"><span class="style6">*</span> Indicates Required Field</p>
<p>
<input id="reloadbutton" class="button" type="reset" value="Clear Form" name="reload_button" onClick="Reload">
</p>
<p>
<input type="button" value=" Exit " name="close_button" onClick="Self.Close">
</p>
</body>
</html> [/align]

|| Twitter || Instagram || PV Output ||

donderdag 25 september 2008 09:55

Acties:
  • pennenlikker
  • Registratie: Oktober 2007
  • Laatst online: 20-01 15:13

pennenlikker

Beste oplossing hier is scripten, ik heb in het st. antonius ziekenhuis stage gelopen waar een van de systeembeheerders zo'n script heeft zitten maken.
Kosten hem ongeveer een MAAND tijd :s (wel met heel wat meer functionaliteit als wat jij nodig hebt) er gaat echt veel tijd in zitten dus mits je niet goed in scripten bent en het niet uit wil besteden is een third party pakket misschien een oplossing, die er overigens meer als genoeg zijn:

Klik

Toch zijn er wel simpele scriptjes te maken met bijvoorbeeld een vbs script:

Msscript centre
Script Center Home > Script Repository > Active Directory > User Accounts > User Management Tasks

Ik denk dat je het beste een extern iemand in kan huren om een paar van deze scripts goede functionaliteit te geven i.p.v. dure licentie kosten van third party software omdat taken zoals een user aanmaken en aan een groep toevoegen nou niet echt iets spectaculair is.

Suc-6 :)

[ Voor 13% gewijzigd door pennenlikker op 25-09-2008 09:59 ]

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq