VBSCript - AD uitlezen, msTSAllowLogon veld - Serversoftware en clouddiensten

zondag 26 augustus 2012 14:43

Acties:

0 Henk 'm!

Topicstarter

Hoi,
als onderdeel van een groter VBscript wil ik gebruikers uitfilteren welke het 'Deny this user permissions to log on to Remote Desktop Session Host server' vinkje gezet (of niet gezet) hebben in hun AD account, tabje Remote Desktop Services Profile. Ik heb 2008R2 DC's, vanaf 2008 zou dit het veldje msTSAllowLogon moeten zijn. Ik krijg dit echter niet uitgelezen, er komt altijd false uit. Als test het volgende scriptje. Domein staat normaal als variable gedefinieerd, in deze test even niet. Het zou enkel true of false moeten tonen afhankelijk van de waarde van de setting.

Maar onderstaande werkt in mijn omgeving dus niet. Iemand een idee hoe ik dat veldje uitlees met VBScript?

Const ADS_SCOPE_SUBTREE = 2
'on error resume next
Set objConnection = CreateObject("ADODB.Connection")
Set objCommand = CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"
Set objCommand.ActiveConnection = objConnection
objCommand.Properties("Page Size") = 1000
objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE
objCommand.CommandText = _
"SELECT DistinguishedName FROM 'LDAP://dc=xxx,dc=xxx,dc=xxx' WHERE objectCategory='user'"
Set objRecordSet = objCommand.Execute

If not objRecordSet.EOF Then
objRecordSet.MoveFirst
Do Until objRecordSet.EOF
Set objUser = GetObject("LDAP://" & objRecordSet.Fields("DistinguishedName").Value)
value=objUser.msTSAllowLogon
if value=true then wscript.echo "true"
if value=false then wscript.echo "false"
objRecordSet.MoveNext
Loop
End If
objConnection.Close

zondag 26 augustus 2012 14:59

Acties:

0 Henk 'm!

Turdie

En als je het zo doet:

PowerShell:

1 2	Import-Module ActiveDirectory Get-ADUser -SearchBase "ou=testou,dc=nwtraders,dc=com" -filter * ` -property msTSAllowLogon

Niet de volledige functionaliteit overgenomen van je VBScript, omdat dit alles laat en geen echo teruggeeft als het true of false is.

[ Voor 28% gewijzigd door Turdie op 26-08-2012 15:03 ]

zondag 26 augustus 2012 15:20

Acties:

0 Henk 'm!

Rataplan_

Topicstarter

Ik ben he-le-maal niet thuis in PowerShell, ondanks dat ik weet dat het krachtig is vind ik het een verschrikkelijke taal. Maar dat scriptje laat het veld ook niet zien. Ik krijg geen foutmelding maar ook geen output over dat veldje. Als ik een niet-bestaand veld query krijg ik daar ook een foutmelding op. Mn AD lijkt het veld wel te kennen.

Output van jouw scriptje:

PS Z:\Scripts\StorageUsage> .\adtest.ps1

DistinguishedName : CN=Roberttest,OU=Users,OU=Testorg,OU=Organisations,DC=ehv,DC=ict-net,DC=nl
Enabled : True
GivenName : Robert
Name : Roberttest
ObjectClass : user
ObjectGUID : 1a6d0966-2d2b-4c59-be1a-0c844e196928
SamAccountName : roberttest
SID : S-1-5-21-118821171-593357180-1459990746-2920
Surname : Test
UserPrincipalName : roberttest@tstorg.nl

Test met DisplayName en een keer met msTSAllowLogon; DisplayName komt gewoon terug, msTSAllowLogon niet. Ook geen foutmelding dus.

PS Z:\Scripts\StorageUsage> get-aduser roberttest -properties displayname

DisplayName : Roberttest
DistinguishedName : CN=Roberttest,OU=Users,OU=Testorg,OU=Organisations,DC=ehv,DC=ict-net,DC=nl
Enabled : True
GivenName : Robert
Name : Roberttest
ObjectClass : user
ObjectGUID : 1a6d0966-2d2b-4c59-be1a-0c844e196928
SamAccountName : roberttest
SID : S-1-5-21-118821171-593357180-1459990746-2920
Surname : Test
UserPrincipalName : roberttest@tstorg.nl

PS Z:\Scripts\StorageUsage> get-aduser roberttest -properties msTSAllowLogon

DistinguishedName : CN=Roberttest,OU=Users,OU=Testorg,OU=Organisations,DC=ehv,DC=ict-net,DC=nl
Enabled : True
GivenName : Robert
Name : Roberttest
ObjectClass : user
ObjectGUID : 1a6d0966-2d2b-4c59-be1a-0c844e196928
SamAccountName : roberttest
SID : S-1-5-21-118821171-593357180-1459990746-2920
Surname : Test
UserPrincipalName : roberttest@tstorg.nl

zondag 26 augustus 2012 15:30

Acties:

0 Henk 'm!

Turdie

MSDN: ms-TS-Allow-Logon attribute

The value is 1 if logon is allowed, and 0 if logon is not allowed.

Dus geen true of false.

Je zou dit script eens kunnen proberen:

VBScript:

'*******************************************************************************
'***
'*** TITLE:       ADToExcel.vbs
'***
'*** DATE:          2010-08-02
'*** AUTHOR:       Derek Wirch
'***
'*** COMPANY:       TrueBlue, Inc.
'*** DEPARTMENT:    Information Services
'***               \ Infrastructure
'***               \ System Administrators
'***
'*** PURPOSE:       Dump Active Directory user objects to Excel Spreadsheet
'***
'*** USAGE:         Not hard.  Double-click the .vbs file, and the script will
'***            open up a copy of Excel, and populate the spreadsheet with
'***            user information from Active Directory.  The script will
'***            take a few minutes to run, and you will be given a pop-up
'***            message when it completes.
'***
'***            Elevated rights are not required, since AD can be read by
'***            all in the Domain Users or Authenticated Users groups.
'***
'*******************************************************************************

'*******************************************************************************
'***
'*** Set aside variables
'***
'*******************************************************************************

Dim objWriteBook
Dim ObjExcel
Dim x, intSEAC

'*******************************************************************************
'***
'*** Setup Active directory connectivity
'***
'*******************************************************************************

Set objRoot = GetObject("LDAP://RootDSE")                               ' grab the root
strDNC = objRoot.Get("DefaultNamingContext")                            ' where are we starting
Set objDomain = GetObject("LDAP://" & strDNC)                            ' Bind to the top of the Domain using LDAP using ROotDSE

'*******************************************************************************
'***
'*** Do the job.  First, set up spreadsheet, then enumerate AD objects
'***
'*******************************************************************************

Call ExcelSetup("Sheet1")                                           ' Sub to make Excel Document
x = 1
Call EnumerateObjects(objDomain)

MsgBox "Done"                                                    ' inform user of script completion

Sub EnumerateObjects(objDomain)

   On Error Resume Next                                           ' nope - we are not stopping on errors
   Dim SecondaryEmail(20)                                              ' Secondary email address storage

   For Each objMember In objDomain                                  ' iterate through the entire collection

      If ObjMember.Class = "user" Then                               ' if not User object, move on.
         x = x +1                                              ' counter used to increment the cells in Excel

         objWriteBook.Cells(x, 1).Value = objMember.Class
         
         SamAccountName = ObjMember.samAccountName
         Cn = ObjMember.CN
         FirstName = objMember.GivenName
         LastName = objMember.sn
         initials = objMember.initials
         Descrip = objMember.description
         Office = objMember.physicalDeliveryOfficeName
         Telephone = objMember.telephonenumber
         EmailAddr = objMember.mail
         WebPage = objMember.wwwHomePage
         Addr1 = objMember.streetAddress
         City = objMember.l
         State = objMember.st
         ZipCode = objMember.postalCode
         Title = ObjMember.Title
         Department = objMember.Department
         Company = objMember.Company
         Manager = ObjMember.Manager
         Profile = objMember.profilePath
         LoginScript = objMember.scriptpath
         HomeDirectory = ObjMember.HomeDirectory
         HomeDrive = ObjMember.homeDrive
         AdsPath = Objmember.Adspath
         LastLogin = objMember.LastLogin
         GUA = objMember.ExtensionAttribute10
         AccountExpires = objMember.AccountExpirationDate
         LastBadPassword = objMember.badPasswordTime
         BadPasswordCount = objMember.badPwdCount
         LogonCount = objMember.LogonCount
         pwdLastSet = objMember.PasswordLastChanged
         WhenCreated = objMember.WhenCreated
         whenChanged = objMember.whenChanged
         UACStatus = objMember.userAccountControl
         msTSAllowLogon = objMember.msTSAllowLogon
         
         '*******************************************************************
         '***
         '*** Determine account status, make the display human-readable
         '***
         '*******************************************************************
         
         Select Case UACStatus
            
            Case 512
               
               UserAccountControl="Normal"
               
            Case 514
               
               UserAccountControl="Disabled"
            
            Case 66050
               
               UserAccountControl="Disabled"
               
            Case Else
               
               UserAccountCountrol="Other"
               
         End Select
               
         
         intSEAC = 1                                           ' Counter for array of Secondary email addresses
         
         For each email in ObjMember.proxyAddresses
         
            If Left (email,5) = "SMTP:" Then
            
               Primary = Mid (email,6)                            ' if SMTP is all caps, then it's the Primary
            
            ElseIf Left (email,5) = "smtp:" Then
            
               SecondaryEmail(intSEAC) = Mid (email,6)                ' load the list of 2ndary SMTP emails into Array.
               intSEAC = intSEAC + 1
            
            End If
            
         Next
         
         '*******************************************************************
         '***
         '*** Send the values to Excel
         '***
         '*******************************************************************
         
         objWriteBook.Cells(x, 2).Value = SamAccountName
         objWriteBook.Cells(x, 3).Value = CN
         objWriteBook.Cells(x, 4).Value = FirstName
         objWriteBook.Cells(x, 5).Value = LastName
         objWriteBook.Cells(x, 6).Value = Initials
         objWriteBook.Cells(x, 7).Value = Descrip
         objWriteBook.Cells(x, 8).Value = Office
         objWriteBook.Cells(x, 9).Value = Telephone
         objWriteBook.Cells(x, 10).Value = EmailAddr
         objWriteBook.Cells(x, 11).Value = WebPage
         objWriteBook.Cells(x, 12).Value = Addr1
         objWriteBook.Cells(x, 13).Value = City
         objWriteBook.Cells(x, 14).Value = State
         objWriteBook.Cells(x, 15).Value = ZipCode
         objWriteBook.Cells(x, 16).Value = Title
         objWriteBook.Cells(x, 17).Value = Department
         objWriteBook.Cells(x, 18).Value = Company
         objWriteBook.Cells(x, 19).Value = Manager
         objWriteBook.Cells(x, 20).Value = Profile
         objWriteBook.Cells(x, 21).Value = LoginScript
         objWriteBook.Cells(x, 22).Value = HomeDirectory
         objWriteBook.Cells(x, 23).Value = HomeDrive
         objWriteBook.Cells(x, 24).Value = Adspath
         objWriteBook.Cells(x, 25).Value = LastLogin
         objWriteBook.Cells(x,26).Value = GUA
         objWriteBook.Cells(x,27).Value = AccountExpires
         objWriteBook.Cells(x,28).Value = LastBadPassword
         objWriteBook.Cells(x,29).Value = BadPasswordCount
         objWriteBook.Cells(x,30).Value = LogonCount
         objWriteBook.Cells(x,31).Value = pwdLastSet
         objWriteBook.Cells(x,32).Value = WhenCreated
         objWriteBook.Cells(x,33).Value = whenChanged
         objWriteBook.Cells(x,34).Value = userAccountControl
         objWriteBook.Cells(x,35).Value = msTSAllowLogon
         objWriteBook.Cells(x,36).Value = Primary
         
         
         '*******************************************************************
         '***
         '*** Write out the Array for the Secondary email addresses.
         '***
         '*******************************************************************
         
         For intWSEA = 1 To 20
            
            objWriteBook.Cells(x,36+intWSEA).Value = SecondaryEmail(intWSEA)
         
         Next
         
         '*******************************************************************
         '***
         '*** Reset the values to nothingness. Prevents stale data from being
         '*** introduced into the next retrieved record.
         '***
         '*******************************************************************

         SamAccountName = "-"
         Cn = "-"
         FirstName = "-"
         LastName = "-"
         initials = "-"
         Descrip = "-"
         Office = "-"
         Telephone = "-"
         EmailAddr = "-"
         WebPage = "-"
         Addr1 = "-"
         City = "-"
         State = "-"
         ZipCode = "-"
         Title = "-"
         Department = "-"
         Company = "-"
         Manager = "-"
         Profile = "-"
         LoginScript = "-"
         HomeDirectory = "-"
         HomeDrive = "-"
         Primary = "-"
         GUA = "-"
         AccountExpires = "-"
         LastBadPassword = "-"
         BadPasswordCount = "-"
         LogonCount = "-"
         pwdLastSet = "-"
         WhenCreated = "-"
         whenChanged = "-"
         userAccountControl = "-"
         msTSAllowLogon = "-"
         
         For intWSEA = 1 To 20
            
            SecondaryEmail(intWSEA) = ""
         
         Next
         
      End If

      '***********************************************************************
      '***
      '*** If we run into an OU along the way, call myself again to iterate
      '*** through the sub-OU
      '***
      '***********************************************************************

      If objMember.Class = "organizationalUnit" or OBjMember.Class = "container" Then
         
         EnumerateObjects (objMember)
      
      End If

   Next
   
End Sub

Sub ExcelSetup(shtName)
   
   '***************************************************************************
   '***
   '*** Create the Excel spreadsheet, adding headings at the top.
   '***
   '***************************************************************************
   
   Set objExcel = CreateObject("Excel.Application")
   Set objWriteBook = objExcel.Workbooks.Add
   Set objWriteBook = objExcel.ActiveWorkbook.Worksheets(shtName)
   
   objWriteBook.Name = "Active Directory Users"                         ' name the sheet
   objWriteBook.Activate
   
   objExcel.Visible = True
   objWriteBook.Cells(1, 1).Value = "ObjClass"
   objWriteBook.Cells(1, 2).Value = "SamAccountName"
   objWriteBook.Cells(1, 3).Value = "CN"
   objWriteBook.Cells(1, 4).Value = "FirstName"
   objWriteBook.Cells(1, 5).Value = "LastName"
   objWriteBook.Cells(1, 6).Value = "Initials"
   objWriteBook.Cells(1, 7).Value = "Descrip"
   objWriteBook.Cells(1, 8).Value = "Office"
   objWriteBook.Cells(1, 9).Value = "Telephone"
   objWriteBook.Cells(1, 10).Value = "Email"
   objWriteBook.Cells(1, 11).Value = "WebPage"
   objWriteBook.Cells(1, 12).Value = "Addr1"
   objWriteBook.Cells(1, 13).Value = "City"
   objWriteBook.Cells(1, 14).Value = "State"
   objWriteBook.Cells(1, 15).Value = "ZipCode"
   objWriteBook.Cells(1, 16).Value = "Title"
   objWriteBook.Cells(1, 17).Value = "Department"
   objWriteBook.Cells(1, 18).Value = "Company"
   objWriteBook.Cells(1, 19).Value = "Manager"
   objWriteBook.Cells(1, 20).Value = "Profile"
   objWriteBook.Cells(1, 21).Value = "LoginScript"
   objWriteBook.Cells(1, 22).Value = "HomeDirectory"
   objWriteBook.Cells(1, 23).Value = "HomeDrive"
   objWriteBook.Cells(1, 24).Value = "Adspath"
   objWriteBook.Cells(1, 25).Value = "LastLogin"
   objWriteBook.Cells(1, 26).Value = "GUA"
   objWriteBook.Cells(1, 27).Value = "Account Expires"
   objWriteBook.Cells(1, 28).Value = "Last Bad Password"
   objWriteBook.Cells(1, 29).Value = "Bad Password Count"
   objWriteBook.Cells(1, 30).Value = "Logon Count"
   objWriteBook.Cells(1, 31).Value = "Password Last Set"
   objWriteBook.Cells(1, 32).Value = "When Created"
   objWriteBook.Cells(1, 33).Value = "When Changed"
   objWriteBook.Cells(1, 34).Value = "Status"
   objWriteBook.Cells(1, 35).Value = "Allowed TS?"
   objWriteBook.Cells(1, 36).Value = "Primary SMTP"
   
End Sub

zondag 26 augustus 2012 15:44

Acties:

0 Henk 'm!

Rataplan_

Topicstarter

Ook daar blijft de kolom voor ts logon leeg. Heb net op een ander domein laten testen, ook daar komt niets terug. Kan iemand dit script eens draaien op een 2008R2 domein en kijken of er iets in de kolom 'Allowed TS?' terecht komt?

zondag 26 augustus 2012 15:47

Acties:

0 Henk 'm!

Tys

Het account waarmee je dat script draait heeft wel de benodigde rechten om die attributen te mogen uitlezen?

My flight statistics: (444.803km in 120 flights) Next trips: Rome (Italy)

zondag 26 augustus 2012 16:09

Acties:

0 Henk 'm!

Rataplan_

Topicstarter

zeker, als test onder een Domain-Admin gedraaid. Wellicht moet ik eens met ADSI-Edit aan de slag om te kijken hoe en wat. Werken doet het vinkje wel, als ik een user deny komt hij er ook echt niet in.

Is er iemand die dit op zijn AD eens wil proberen uit te lezen?

zondag 26 augustus 2012 17:46

Acties:

0 Henk 'm!

Razwer

Rataplan_ schreef op zondag 26 augustus 2012 @ 15:20:
Ik ben he-le-maal niet thuis in PowerShell, ondanks dat ik weet dat het krachtig is vind ik het een verschrikkelijke taal.

en later post je een vbs van 323 regels wat in 20 regels powershell kan. priceless

Newton's 3rd law of motion. Amateur moraalridder.

zondag 26 augustus 2012 17:58

Acties:

0 Henk 'm!

Rataplan_

Topicstarter

Razwer schreef op zondag 26 augustus 2012 @ 17:46:
[...]

en later post je een vbs van 323 regels wat in 20 regels powershell kan. priceless

No I did not, Shadowman postte dat VBS script. Ik kan PowerShell wel lezen maar vind het simpelweg geen fijne taal om te gebruiken om meerdere redenen, die er nu niet toe doen. Bovendien kan dat VBS script ook een heel stuk korter

[ Voor 6% gewijzigd door Rataplan_ op 26-08-2012 18:00 ]

zondag 26 augustus 2012 19:27

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Het attribuut msTSAllowLogon kan drie waardes hebben: true, false or not set.
Default issie "not set", en dan geven een query voor true of false allebei null.
Met een soortgelijk scriptje getest:

CN=Administrator,CN=Users,DC=home,DC=brahiewahiewa,DC=dyndns,DC=org -->
CN=ASPNET,CN=Users,DC=home,DC=brahiewahiewa,DC=dyndns,DC=org -->
CN=beheerder,CN=Users,DC=home,DC=brahiewahiewa,DC=dyndns,DC=org -->
CN=Guest,CN=Users,DC=home,DC=brahiewahiewa,DC=dyndns,DC=org -->

En nadat ik in ADSIedit de admin msTSAllowLogon heb gegeven:

CN=Administrator,CN=Users,DC=home,DC=brahiewahiewa,DC=dyndns,DC=org --> True
CN=ASPNET,CN=Users,DC=home,DC=brahiewahiewa,DC=dyndns,DC=org -->
CN=beheerder,CN=Users,DC=home,DC=brahiewahiewa,DC=dyndns,DC=org -->
CN=Guest,CN=Users,DC=home,DC=brahiewahiewa,DC=dyndns,DC=org -->

(zoek de verschillen

)
Dus de waarde moet eerst geïnitialiseerd zijn, voor je 'm uit kunt lezen

QnJhaGlld2FoaWV3YQ==

zondag 26 augustus 2012 20:01

Acties:

0 Henk 'm!

Rataplan_

Topicstarter

Brahiewahiewa schreef op zondag 26 augustus 2012 @ 19:27:
Het attribuut msTSAllowLogon kan drie waardes hebben: true, false or not set.
Default issie "not set", en dan geven een query voor true of false allebei null.
Met een soortgelijk scriptje getest:
CN=Administrator,CN=Users,DC=home,DC=brahiewahiewa,DC=dyndns,DC=org -->
CN=ASPNET,CN=Users,DC=home,DC=brahiewahiewa,DC=dyndns,DC=org -->
CN=beheerder,CN=Users,DC=home,DC=brahiewahiewa,DC=dyndns,DC=org -->
CN=Guest,CN=Users,DC=home,DC=brahiewahiewa,DC=dyndns,DC=org -->
En nadat ik in ADSIedit de admin msTSAllowLogon heb gegeven:
CN=Administrator,CN=Users,DC=home,DC=brahiewahiewa,DC=dyndns,DC=org --> True
CN=ASPNET,CN=Users,DC=home,DC=brahiewahiewa,DC=dyndns,DC=org -->
CN=beheerder,CN=Users,DC=home,DC=brahiewahiewa,DC=dyndns,DC=org -->
CN=Guest,CN=Users,DC=home,DC=brahiewahiewa,DC=dyndns,DC=org -->
(zoek de verschillen )
Dus de waarde moet eerst geïnitialiseerd zijn, voor je 'm uit kunt lezen

Zover was ik inmiddels ook, ik ben vanmiddag nog even met ADSIEdit aan de slag geweest. Dan komt er ook inderdaad een waarde terug. Echter, het zetten van het vinkje 'Deny logon to terminal server' op een account zet die msTSAllowLogon waarde niet. Hij heeft echter wel effect, want je kan een user inderdaad beperken op die manier. Ik heb met ADSI edit geprobeerd te achterhalen welk attribuut dan wél wijzigd met het zetten van die optie maar heb het niet kunnen vinden.

Dus de vraag wordt een beetje anders: Welke attribute wordt geupdate met het zetten van dat vinkje? Of hoe kan ik op een andere manier vaststellen dat die user niet op TS mag inloggen?

zondag 26 augustus 2012 22:58

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Kijk eens naar het userParameters attribuut.
Als ik allowhuppeldepup zet in AD komt daar ineens te staan:

CtxCfgPresent PCtxCfgPresent㔵攱戰ぢ CtxWFProfilePath〰CtxWFHomeDir〰"CtxWFHomeDirDrive〰CtxShadow㄰〰〰〰.CtxMaxDisconnectionTime〰〰〰〰(CtxMaxConnectionTime〰〰〰〰CtxMaxIdleTime〰〰〰〰 CtxWorkDirectory〰CtxCfgFlags1〰てㄲ〹"CtxInitialProgram〰

't Is een unicodeblob, maar het ligt voor de hand om te veronderstellen dat "CtxCfg" staat voor Citrix Configuration.
Als MS al openheid zou willen geven over de betekenis van deze string, zal het wel niet mogen van Citrix van wie ze deze code in licentie hebben.

QnJhaGlld2FoaWV3YQ==

maandag 27 augustus 2012 09:36

Acties:

0 Henk 'm!

Rataplan_

Topicstarter

Had ik ook al naar gekeken maar daar staat het niet in.

Maar ik ben eruit:
het is alsnog de 'oude' attribuut AllowLogon. Echter wanneer deze nooit gezet is voor een user is die attribuut uberhaubt niet aanwezig op een user account en geeft je DC 'The directory property cannot be found in the cache'. In geval van VBScript moet daar dus even een on error resume next voor en presto. Werkt!

Thanks allemaal.