» Автоматизация администрирования

kibkalo

Цитата:

Можно тебя еще малость поэксплуатировать?

Имеешь в виду вопросы, поднятые в теме про аудит?

Цитата:

Нужны скрипты, которые дают права на ветвь реестра локальных компов домена

Т.е. тебе надо получить листинг прав на ветвь или получить доступ к ней?

Цитата:

можно ли вывод скрипта (окошки) иметь в виде текстового файла?

Да. Только надо использовать не "Wscript script.vbs", а "Cscript script.vbs > file.out".
Про остальное возможно позже напишу. После твоих уточнений задачи.

А вот как бы мне сделать баиничек на подключение общего доступа к папкам и выставления разрешений ??? Уж больно муторно Вашим msdn...

Kristaliar
Ты бы хоть написал на локальном компе или на удаленном. А то сиди, гадай...

Kristaliar


Цитата:

А вот как бы мне сделать баиничек на подключение общего доступа к папкам и выставления разрешений ??? Уж больно муторно Вашим msdn...

ooptimum прав в смысле А то сиди, гадай...

в самом общем виде тебе понадобиться cmd/for/cacls/xcacls и.т.д.

а так ... опиши посмотрим.

ooptimum в общем вопрос действительно из темы про аудит. Есть Домен (все тот же ) в нем много компов. Хотелось бы автоматизировать аудит предоставления папок в общий доступ. То есть нужен скрипт, обходящий компы домена и задающих аудит указанной ветви реестра. Обход то я и сам сделаю, а вот задать из скрипта аудит не смогу.
И к этой же задачке вопрос - можно ли будет эти логи читать централизованно, а не на каждом из компов в отдельности?

kibkalo

Цитата:

Обход то я и сам сделаю

Ну надо думать... Я б удивился, если б ты его теперь не смог сделать.

Цитата:

аудит указанной ветви реестра

Честно говоря, я не знаю. Да и прошлый скрипт я составил из 2х, взятых на Script Centr'е. Ты туда сходи, там много скриптов всяких. Наверняка что-то найдешь. Или хотя бы что-то похожее. В прошлый раз, составляя скрипт для тебя, я потратил не больше 10 минут на все, включая написание сообщения. Вот про логи там много всего. Например, можешь их копировать в БД. Т.е. на каждом компе скрипт настроить, чтобы в определенное время сливали логи на сервер, и все. Да, а почему у тебя пользователи могут общие папки создавать? Ведь нормальные доменные пользователи, не power, такой способностью не обладают. Зачем тебе было делать их power?

ooptimum

Тут я Вас не понял...А какая разница ? На рабочей станции, настройки делаются один раз.

merlkerry

При помощи xcacls я безопасность настраивал, а вот относительно на доступ, поможет ли она ?!

Вообщем надо сделать что, создать сетевую папку, допустим с именем С и сделать на нее доступы - юзрам чтение и т.д.

ooptimum - все юзера имеют локальных повер - из-за специфики нашей КИС. ну не работает оно иначе
А есть ли маза скриптом логи давать в Event Viewer одного из серверов? какой там формат интересно..

Добавлено
Про логи в Event Viwer уже нашел тут

Kristaliar

Цитата:

Вообщем надо сделать что, создать сетевую папку, допустим с именем С и сделать на нее доступы - юзрам чтение и т.д.

Если диск, на котором создается общий ресурс, отформатирован под NTFS, то я бы разграничивал доступ на уровне NTFS, а не на уровне ресурса -- такая схема намного гибче. В этом случае как раз понадобятся [x]cacls, for, etc., как было замечено коллегой merlkerry. Если же надо разграничивать доступ именно на уровне ресурса, то даже не знаю... Что-то я ничего такого не встречал, чем бы в батнике можно было воспользоваться.

ooptimum


Цитата:

то-то я ничего такого не встречал, чем бы в батнике можно было воспользоваться.

Да, надо ресурс. Доступ на уровне NTFS - это уже отдельная история, батником это сделать довольно просто.
Вопросик такой, что за for, etc. ?

ooptimum - а как бы мне скриптом из AD взять описание юзеров? Поле Description в AD U&C
Для локального объекта у меня получается это сделать, а через objRecordSet ну никак.
Вот такой скриптик мне выдает список юзеров в домене, а нужен список их аттрибута Описание.


Цитата:

Set objConnection = CreateObject("ADODB.Connection")
Set objCommand = CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"
Set objCOmmand.ActiveConnection = objConnection
objCommand.CommandText = _
"Select Name, Location from 'LDAP://DC=it,DC=local' " _
& "where objectClass='user'"
objCommand.Properties("Page Size") = 5000
objCommand.Properties("Timeout") = 10
objCommand.Properties("Searchscope") = 5
objCommand.Properties("Cache Results") = False
Set objRecordSet = objCommand.Execute
objRecordSet.MoveFirst
Do Until objRecordSet.EOF
strUser = objRecordSet.Fields("Name").Value
Wscript.echo strUser

objRecordSet.MoveNext
Loop

что добавть надо? тупые замены слов Name не помогают

Может глупсоть сморожу, но...
посмотри на http://www.microsoft.com/technet/treeview/default.asp?url=/technet/scriptcenter/user/ScrUG36.asp

Удачи

Это для одного аккаунта. так прокатывает.
Не получается сделать обход директории и вывести список по всем юзерам

Я тут недавно озадачился проблемой создания backup`a "ручками" c использованием WinRAR (консольной) NTbackup и OSQL (ms sql) ... Итогом стало создание нескольких батничков, которые пашут не чуть не хуже прог купленных за бешеные деньги.
Если кому интересно в картце запостю ...

life_so_good

Угу...угу. Очинь интересно....

kibkalo
Ну, получить список пользователей нет так уж и сложно. Я делал у себя так:

Цитата:

Set objDomain = GetObject("WinNT://NETBIOS_DOMAIN_NAME")
objDomain.Filter = Array("user")

For each usr in objDomain
' handle active non-system accounts only
If (usr.UserFlags and 2) = 0 and (usr.UserFlags and 65536) = 0 Then
wscript.echo usr.FullName, usr.Description
End If
Next

ooptimum - супер!
а что такое значок '
в

Цитата:

' handle active non-system accounts only

или тут именно так комметарии делают?

Kristaliar

Цитата:

Вопросик такой, что за for, etc. ?

for -- это оператор цикла, который присутствует в командной оболочке от M$ уж не помню с какой версии DOSа. Давно, короче. А etc. -- et-cetera (лат.): и так далее; и тому подобное.

Добавлено
kibkalo

Цитата:

или тут именно так комметарии делают?

именно

И еще - я наверное уже всех достал, но не вижу я на msdn как мне проверить является ли одно слово подстрокой в другом. Мне надо проверить нет ли в поле Description слова "Админ"

kibkalo
Используй функцию InStr. Детали найдешь в документации по Windows Script, а именно в VBScript -> Reference -> Functions.

Thanx! Получилось!

Гм, а как все же в файл это вывести?
Ну хотя бы просто список юзеров домена?

Добавлено
Гм, все оказалось проще чем я думал:
Скрипт выдающий все группы в домене

Цитата:

Const ForAppending = 2
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objTextFile = objFSO.OpenTextFile _
("C:\groups.txt", ForAppending, True)

Set objDomain = GetObject("WinNT://my_domain_name")
objDomain.Filter = Array("group")

For each usr in objDomain
' handle active non-system accounts only
objTextFile.WriteLine(usr.Name & " " & usr.Description)
Next
objTextFile.Close

kibkalo
На самом деле все еще проще, не надо никакого FSO:
cscript your_script.vbs >groups.txt
В ДОСе не работал никогда? Надо было себя заставить.
IMHO, про перенаправление вывода я уже в этом треде тебе писал.

ooptimum, не подскажешь таки обход директории не по Winnt:// а по GC:// как сделать?
Мне нужно получить список юзеров, у которых привязаны какие-либо сертификаты к юзеру в AD.
Для одного юзера есть скрипт проверки:


Цитата:

On Error Resume Next
Const E_ADS_PROPERTY_NOT_FOUND = &h8000500D
Const ForWriting = 2
Const WshRunning = 0

Set objUser = GetObject _
("GC://cn=Alex,cn=Users,dc=domain,dc=local")
objUser.GetInfoEx Array("userCertificate"), 0
arrUserCertificates = objUser.GetEx("userCertificate")

If Err.Number = E_ADS_PROPERTY_NOT_FOUND Then
WScript.Echo "No assigned certificates"
WScript.Quit
Else
WScript.Echo "There are assigned certificates"
End If

Второй раз не могу справиться с обходом по GC:// - идею дай плиз?

У меня несколько вопросов накопилось за то недолгое время пользования WSH:
1) Есть ли аналог vb "On Error Resume Next" на JScript?
2) Как запустить logon script у пользователя под аккаунтом админа?

oldhuman

Цитата:

2) Как запустить logon script у пользователя под аккаунтом админа?

это что имелось в виду - для текущего пользователя от имени админа (типа runas), или как ???

merlkerry
Именно, вроде runas, т.е. при входе в домен скрипт должен выполнять действия не позволенные обычному пользователю

Объясните ламеру: а как определить Основную группу у пользователя?

Klisha
http://cwashington.netreach.net/depo/default.asp?topic=adsifaq

Уже замотался, хотелось на всех станциях запусить скрипт установки программы QChat

---setupqchat.js---
var oFso = new ActiveXObject("Scripting.FileSystemObject");
var oShell = new ActiveXObject("WScript.Shell");

oFso.CopyFolder("n:\\!\\0\\qChat", "c:\\program files\\", "true");
oShell.Run("regedit /s qchat.reg");
---------------------

Запустить пытадся с собственного компа при помощи скрипта exec.vbs (из ResourceKit):
exec.vbs /e "WScript n:\!\0\setupqchat.js" /s сервер /u пользователь /w пароль
В результате у клиента вылетает сообщение "Ошибка (отказано в доступе) при загрузке сценария n:\!\0\setupqchat.js"
Почему отказано в доступе, если я указываю данные админа?!