12.04.2016, aktualisiert um 14:44:14 Uhr

7964

Powershell Set-ADAccountPassword : Zugriff Verweigert

Hallo zusammen,

für die Erleichterung der arbeit beim Kunden baute ich mir (mal wieder) ein kleines Script. Folgendes wird getan dabei:

Auszug:

                $Name=$InputBoxUser.text;
                $User=Get-ADUser -Filter "Name -eq '$Name'" -Properties SamAccountName   
				$Password = ''  
 				$random = New-Object System.Random
				1..10 | ForEach { $Password = $Password + [char] $random.next(48,123) }
				$SetPassword = ConvertTo-SecureString -AsPlainText $Password -Force
                $outputbox.Text +="`r`n"  
                $OUGUID
                $outputbox.Text += Invoke-Command @ServerSettings -Credential $cred -ArgumentList ($User,$SetPassword,$OUGUID) -ScriptBlock{
                Param($user,$SetPassword,$TargetOU)
                $ou=$TargetOU.Item("TargetPath")  
                ("User deaktiviert: "+$user.SamAccountName)   
                Get-AdUser -Identity $user.SamAccountName | Set-ADAccountPassword -NewPassword $SetPassword -Reset -Confirm:$false
                Get-AdUser -Identity $user.SamAccountName | Set-ADAccountControl -CannotChangePassword:$true
                Get-ADPrincipalGroupMembership -Identity $user.SamAccountName | % {Remove-ADPrincipalGroupMembership -Identity $user.SamAccountName -MemberOf $_ -Confirm:$false}
                Get-AdUser -Identity $user.SamAccountName | Move-ADObject -TargetPath $ou
                Get-AdUser -Identity $user.SamAccountName | Disable-ADAccount
                } -ErrorAction SilentlyContinue -ErrorVariable ErrDelUser -WarningVariable WarningDelUser

Soweit so gut.
Dies Funktioniert einwandfrei bei all meinen Kunden, nur bei einem streikt das ganze und scheitert mit folgendem Fehler am Beispiel Passwort ändern:

Set-ADAccountPassword : Zugriff verweigert
In Zeile:1 Zeichen:45
+ Get-AdUser -Identity $user.SamAccountName | Set-ADAccountPassword -NewPassword $ ...
+                                             ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (CN=USER...DC=domain,DC=local:ADUser) [Set-ADAccountPassword], Un
   authorizedAccessException
    + FullyQualifiedErrorId : ActiveDirectoryCmdlet:System.UnauthorizedAccessException,Microsoft.ActiveDirectory.Manag
   ement.Commands.SetADAccountPassword

Selbst direkt am Server auf der Powershell funktioniert es nicht...

Wen es interessiert und wer es vielleicht braucht hier das ganze Script:
https://onedrive.live.com/redir?resid=D3CF971C2580642B!3752&authkey= ...

Vielen Dank an alle beteiligten

Grüße

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 301562

Url: https://administrator.de/contentid/301562

Ausgedruckt am: 22.11.2024 um 04:11 Uhr

26 Kommentare

Neuester Kommentar

Hi,
steht doch da...?

UnauthorizedAccessException

Keine Zugriffsrechte. Man kann auch einem Domänenadmin Rechte verweigern.

E.

Danke E.
Ok. Das ist richtig.
Aber wie kann es sein, dass dies so ist? Ich check es an der Stelle einfach nicht...
Oder anders gefragt, welche Rechte benötigt denn der Domänen Admin um dies zu ändern per Powershell? in der AD MMC kann ich ja alles machen...

Hat der Server UAC aktiviert? Wird das Skript in einer elevated Shell ausgeführt ?

Gruß jodel32

Hallo Jodel32,

UAC ist aus. Shell wird mit/als admin gestartet. Andersherum hab ichs auch schon probiert

in der AD MMC kann ich ja alles machen...

hast Du das nicht erwähnt
Sicher? Hast Du es mit der MMC für den betreffenden Benutzer erfolgreich ändern können?

Dann würde ich mir die AD-Permissions(adsiedit / erweiterte Eigenschaften Tab: Sicherheit in ADUC) des Benutzers für den das Password geändert werden soll mal genauer anschauen, was bei dem so in den ACLs steht.

@e
Ja, auf jeden Fall.
Musste es dann ja leider händisch machen ohne meine Erleichterung...

@114757
Das werd ich mal gleich überprüfen.

Scheint nicht nur dieses sondern alle User Objekte zu betreffen. Bei keinem funktioniert es über die powershell...

Achso, habe überlesen. Nicht "bei einem Benutzer" sondern "bei einem Kunden". Also ein anderes AD.
Mal ins Blaue gestochert:
Könnte es sein, dass es dort mehrere Domains gibt?
Könnte es sein, dass dort eine andere Passwortrichtlinie gilt?
Könnte es sein, dass das Script dummerweise über einen RODC versucht, das Passwort zu ändern?

Könnte es sein, dass dort eine andere Passwortrichtlinie gilt?

Guter Einwand .. Sein Skript generiert ja wahllose Passwörter ohne einer bestimmten Komplexität zu entsprechen zu müssen.

@e

mehrere Domains: nein
Passwortrichtlinien: default
RODC: JA und NEIN - Warum? Der jetzige primary wurde hochgestuft weil der alte DC abgelöst wurde... sollte etwa hier der Hund begraben liegen?

RODC - Read Only DC!
Hat nix mit PDC und FSMO zu tun ...

bezüglich der PW Richtlinie:

dies hier ist z.B. ein gerade generiertes PW welches ich per ps nicht ändern kann aber über die mmc
km_A:JL`pa

Wie sieht es mit einem anderen Enterprise- oder Domain-Admin Account aus, dort das selbe Verhalten ?

@e:

das ist mir bewusst, glaub mir. Bbin mir nicht 100% sicher weil ich es so übernommen hatte ob es nicht vorher ein RODC war

@114757

Genau das Gleiche

Zitat von @skahle85:
@114757
Genau das Gleiche

Gut, dann hat der Server ein generelles Problem, könnte tatsächlich mit der Umwandlung des RODC zu tun haben.

Geb mal den Server mit dem -Server Parameter bei Set-ADAccountPasswort explizit an auf welchem das Passwort geändert werden soll.

@114757
auch unter Server Angabe ohne Erfolg. Leider!

Was sagen die Eventlogs?

Hallo zusammen,

leider geben die Eventlogs nichts vernünftiges her. Mittlerweile spitzt sich das ganze aber auch noch weiter zu...
Ein beschreiben des Netlogons ist nämlich auch nicht möglich. Lediglich übers sysvol kann der Admin dort schreiben - Aber das nur so am Rande.

Am Ende denke ich, dass das alles irgendwie zusammenhängt. Ich denke ein ablösen des DCs ist hier unausweichlich.

Oder gibt es noch Ideen? Falls nicht würde ich das Thema dann hier erstmal schließen und bedanke mich schonmal bei @114757 und @emeriks für die Ideen.

VG skahle

Hmm, ohne die genaue Vorgeschichte zu kennen, sehr sehr schwierig hier eine passende Aussage zu treffen was da verbastelt wurde, außer du kannst deinen Vorgänger ausquetschen was er da verbrochen hat.

Einen neuen DC aufzusetzen ist denke ich in dieser Situation eine vernünftige und schnelle Lösung.

Gruß jodel32

Ich denke ein ablösen des DCs ist hier unausweichlich.

Du willst einen DC eines Kunden "ablösen", weil Deine Scripte nicht laufen? Und Du diese nicht zum Laufen bekommst?
Oder machst Du das Ganze dann unentgeldlich auf Deine Verantwortung? Oder Ihr habt einen entsprechenden Wartungsvertrag ...

Du willst einen DC eines Kunden "ablösen", weil Deine Scripte nicht laufen? Und Du diese nicht zum Laufen bekommst?

Die haben einen Wartungsvertrag - ;)

. Von daher eher unproblematisch. Mittlerweile laufen ja nicht nur meine Scripts nicht sondern andere Kuriositäten wie beschreiben des Netlogons laufen ja auch nicht.

Netlogon

Freigabeberechtigungen überprüft? Auf jedem DC dieser Domäne.

Ja, alles überprüft

kurz zur Struktur: ein DC und ein Exchange 2013
und jetzt kommts, festhalten
vom Exchange aus funktioniert sowohl das ändern von AD objekten über die Ps und auch das Schreiben im Netlogon ^^

???

Ich denke, ich werde diesen Thread hier jetzt mal so stehen lassen als "gelöst".

Da ich nicht gerade viel Zeit mit der Behebung dieses komischen Problems verbringen möchte mach ich es auf die brachiale und einfachste Variante über einen neuen DC.

Beste Grüße

gelöst Frage Microsoft Windows Server

Mehr von skahle85

Nach WSUS Crash Fehler 80244007skahle85 - 2 Kommentare

Powershell - Globale AD Abfrageskahle85 - 9 Kommentare

Powershell - NTFS Berechtigungen Konvertierungsfehler bei Invoke-Commandskahle85 - 4 Kommentare

Dateireplikation Dienst startet nichtskahle85 - 2 Kommentare

Heiß diskutiert