Nota:Oricum de cand cu Group Policy Preferences, nici eu nu mai prefer scripturile pentru managementul imprimantelor.

Interesant e ca de la Windows 2003 au existat exemple de scripturi incluse chiar in instalarea sistemului de operare:

Scripturile de mai sus sunt incluse in OS – c:\%windir%\system32 in Windows 2003/XP si C:\%windir%\System32\Printing_Admin_Scripts in Windows Vista/7/2008/2008 R2.

De exemplu cu prnmngr.vbs ne putem conecta la o imprimanta partajata de pe un print server.

Iar cu prnsrvr.vbs putem extrage informatii despre driverele instalate pe print server (cu parametrul – x se pot identifica si sterge driverele nefolosite).

Iar cu prncnfg.vbs putem extrage informatii despre o anumita imprimanta.

Celelalte scripturi importante sunt:

- prnjobs.vbs – pentru a interactiona cu print joburile (pauza, resume, cancel jobs)

- prnport.vbs – display and manage TCP/IP printer ports

Scripturile folosesc WMI si pot fi folosite si doar pentru a invata cum sa interactionezi cu imprimantele via VBS/WMI.

Iar in caz ca scripturile nu acopera tot si se doreste mai mult sunt sigur ca o sa gasiti si alte scripturi pentru managementul imprimantelor pe Technet Scriptcenter.

Pentru asta ne putem folosi de version number si producttype pe care le putem obtine via WMI:

Version Number:

Windows Server 2008 R2 or Windows 7  -  6.1%

Windows Server 2008 or Windows Vista  -  6.0%

Windows Server 2003  -  5.2%

Windows XP  -  5.1%

Windows 2000  -  5.0%

Product Type:

Windows Server 2008 R2 or Windows 7  – 6.1%

Windows Server 2008 or Windows Vista  -  6.0%

Windows Server 2003  -  5.2%

Windows XP  -  5.1%

Windows 2000  -  5.0%

http://technet.microsoft.com/en-us/library/cc754488(WS.10).aspx

Iar lucrul asta poate fi foarte util atunci cand vrem sa limitam aplicarea unor GPO-uri doar la anumite OS-uri:

Sau daca vrem doar sa influentam modul in care ruleaza un script iata un exemplu care citeste versiunea si tipul OS-ului:

strComputer = “.”
Set objWMIService = GetObject(“winmgmts:” _
& “{impersonationLevel=impersonate}!\\” & strComputer & “\root\cimv2″)

Set colOperatingSystems = objWMIService.ExecQuery _
(“Select * from Win32_OperatingSystem”)

For Each objOperatingSystem in colOperatingSystems
Wscript.Echo objOperatingSystem.Caption & ” ” & _
objOperatingSystem.Version & “    ” & objOperatingSystem.ProductType

Next

Restul tine doar de imaginatia voastra. Pentru alte detalii ma gasiti pe forum.

Nota: Daca esti incepator si nu stii pe ce drum sa o apuci, iti recomand Powershell. Poate parea putin mai complicat decat VBScript insa este de viitor. Poti sa incepi de aici.

Acum daca stii ca inca mai ai de lucru cu VBS-uri si o sa te lovesti de ele, e bine sa stii si putin VBScript. Ca sa-ti faci o idee aici ai o privire din avion asupra VBScript:

http://technet.microsoft.com/en-us/scriptcenter/dd940112

Si daca te decizi sa continui, iti recomand Windows 2000 Scripting Guide (in continuare cea mai buna cale de a invata VBScript pentru administrare):

http://technet.microsoft.com/en-us/library/ee221103.aspx

Gasesti aici o gramada de exemple mapate pe diverse task-uri de administrare. Ghidul e util cateodata si doar pentru a gasi exemple de scripturi.

O sa revin si cu varianta Powershell, insa azi o sa postez un exemplu de script care citeste o lista de useri dintr-un fisier formatat CSV si ii adauga in Active Directory.

Scriptul seteaza si parola pe userii respectivi si ii si activeaza.

on error resume next

Const ForReading = 1

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objTextFile = objFSO.OpenTextFile("d:\lista_useri.csv", ForReading)

Do While objTextFile.AtEndOfStream <> True
strLine = objtextFile.ReadLine
If inStr(strLine, ",") Then
    arrUserRecord = split(strLine, ",")
    cnUser = "cn=" & arruserRecord(0)
    SAM = arrUserRecord(1)
    GivenName = arrUserRecord(2)
    surname = arrUserRecord(3)

    Set objOU = GetObject("LDAP://ou=Useri,OU=Test,dc=winadmin,dc=local")
    Set objUser = objOU.Create("User", cnUser)
    objUser.Put "sAMAccountName", SAM
    objUser.Put "givenName", GivenName
    objUser.Put "sn", surname
    objUser.Put "userPrincipalName", SAM
    objUser.SetInfo

    objuser.SetPassword "P@ssw0rd"
    objUser.Put "userAccountControl", 512
    objUser.SetInfo

    Wscript.echo cnUser & "    user account created."

End If
Loop

Dupa cum se vede, merge modificat foarte usor si pot fi adaugate mai multe atribute (prin metoda Put) iar scriptul merge modificat ca sa citeasca parola tot din CSV. Atentie ca e nevoie de doua ori de metoda SetInfo altfel nu o sa reusiti sa activati userul.

PS: Scriptul nu face error handling si are activat si on error resume next, asa ca mare atentie atunci cand importati cantitati mari de date.

Totusi un simplu vbscript sau powershell script poate rezolva problema. Si e mai util pentru ca il poti lega la un script mai mare sau aplicatie care culege date din enterprise.

Nu are rost sa repostez eu ce au facut altii. Detalii despre subiect si despre cum puteti culege si serialele altor produse gasiti aici:

http://www.visualbasicscript.com/Retrieve-Windows-Product-Key-m42793.aspx

O copie a scriptului care culege datele de pe Windows si care merge inclusiv pe Windows 7 am uploadat si pe Winadmin.

http://www.winadmin.ro/files/findkey.zip

WMI?VBScript?

Ne folosim de un exemplu de script de pe “Hey! Scripting guy!” care ne ajuta sa cautam in textul dintr-un event si de modelul de script descris in articolul de aici.

In prima etapa scriptul monitorizeaza aparitia oricarui eveniment cu ID-ul 641

Set colMonitoredEvents = objWMIService.ExecNotificationQuery _   
    ("Select * from __InstanceCreationEvent Where " _
        & "TargetInstance ISA ‘Win32_NTLogEvent’ " _
            & "and TargetInstance.EventCode = ’641′ ")

Urmand ca apoi sa caute un corpul mesajului textul “domain admins”.

If InStr(LCase(objLatestEvent.TargetInstance.Message), "domain admins") Then
    Wscript.Echo "Message: " & objLatestEvent.TargetInstance.Message
End If

Intreg scriptul il gasiti mai jos:

strComputer = "."

Set objWMIService = GetObject("winmgmts:{(Security)}\\" & _
        strComputer & "\root\cimv2")

Set colMonitoredEvents = objWMIService.ExecNotificationQuery _   
    ("Select * from __InstanceCreationEvent Where " _
        & "TargetInstance ISA ‘Win32_NTLogEvent’ " _
            & "and TargetInstance.EventCode = ’641′ ")

Do
    Set objLatestEvent = colMonitoredEvents.NextEvent
    If InStr(LCase(objLatestEvent.TargetInstance.Message), "domain admins") Then
        Wscript.Echo "Message: " & objLatestEvent.TargetInstance.Message
    End If

Loop

 

Iata ce se intampla cand il rulam si modificam grupul Domain Admins.

Ca actiune in cazul modificarii unui event doar afisam un text in cazul scriptului de mai sus, insa actiunea potrivita ar fi generarea si trimiterea unui email pentru a avertiza administratorul (dar asta alta data).

Pentru o mai buna protectie e bine sa monitorizam si grupurile Administrators, Enterprise Admins, Schema Admins (chiar si Backup & Server Operators ar fi bine).

Scopul scriptului care il voi prezenta mai jos este de a cauta in Active Directory dupa delegarile facute la nivel de Organizational Unit-uri. Intr-un domeniu in care facem delegari pentru alti admini, daca acestea nu sunt documentate si sunt facute folosind useri si nu de grupuri, in timp sunt uitate iar userul va avea acces in continuare la resursele delegate chiar daca nu face parte din grupurile de administratori.

Scriptul arata cam asa:

‘Script created by Andrei Ungureanu
‘www.winadmin.ro

On error resume next
Const ADS_SCOPE_SUBTREE = 2
Const ADS_ACEFLAG_INHERITED_ACE = &H10

Set objConnection = CreateObject("ADODB.Connection")
Set objCommand =   CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"

Set objCOmmand.ActiveConnection = objConnection
objCommand.CommandText = _
    "Select Name, distinguishedName from ‘LDAP://DC=itboard,DC=local’ " _
        & "Where objectClass=’organizationalUnit’" 
objCommand.Properties("Page Size") = 1000
objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE
Set objRecordSet = objCommand.Execute
objRecordSet.MoveFirst

Do Until objRecordSet.EOF
        strOU = objRecordSet.Fields("distinguishedName") 
Set ObjUser = GetObject("LDAP://" & strOU)
Set objsd = objUser.Get("ntSecurityDescriptor")
Set dacl = objsd.DiscretionaryAcl

For Each ace In dacl
If ace.Trustee = "ITBOARD\andreiu" Then
    iAceFlags = ace.AceFlags

        If(iAceFlags And ADS_ACEFLAG_INHERITED_ACE)Then
         Exit For
        End If

    wscript.echo strOU
    Exit For
End If
next

    objRecordSet.MoveNext
Loop

E nevoie sa inlocuiti in script ITBOARD\andreiu cu userul pe care il cautati si la fel numele domeniului din dc=itboard,dc=local in numele domeniului pe care rulati scriptul. Scriptul va verifica toata ierarhia de OU-uri si va afisa doar locatiile in care userul are permisiuni (daca exista deja permisiuni mostenite de la un OU parinte nu va mai verifica alte permisiuni pe acel OU).

Atentie ca numele userului si domeniul sunt case sensitive. Acestea trebuie puse in script exact asa cum apar in proprietatile userului:

Scriptul nu este bullet proof si e posibila sa existe cazuri in care sa nu detecteze tot. Pentru a-i imbunatati viteza am decis sa fac skip la OU-urile unde exista deja drepturi mostenite pentru acel user.

PS: Atentie ca scripturile postate aici sunt modificate de wordpress si anumite caractere trebuie modificate de mana cand faceti copy/paste la script.

Stiu ca foarte multi administratori de Active Directory s-au lovit de problema asta. In special cand preiei administrarea unui domeniu de la altcineva sau cand obiectele care le ai in domeniul tau au venit printr-o migrare.

Bifa din imaginea de mai jos se refera la mostenirea permisiunilor de pe containerul care contine obiectul (sau pot fi mai multe nu numai unul).

E nevoie ca aceste permisiuni sa se propage la obiectele din container, pentru ca la nivel de container se fac delegarile de permisiuni. Sa luam exemplul in care delegam permisiunea de a reseta parole unui admin regional pentru toti userii care se afla intr-o anumita locatie, mai exact toti userii care se afla intr-un anumit container (OU).

Daca obiectele din containerul meu nu au bifa de care pomeneam mai sus activa, delegarea nu o sa functioneze. By default bifa e activa, insa pe parcursul vietii unui obiect in AD, se poate schimba. Cateodata poate fi facuta manual sau de anumite procese – gen cazul cand un user este adaugat in grupul Domain Admins, iar cand este scos nu este pusa la loc.

Cum putem sa fortam activarea acestei bife sau sa vedem daca este activa? In cazul unui singur utilizator e simplu, problema apare atunci cand avem zeci sau sute de utilizatori (poate chiar mai multi dar ne oprim aici) de modificat sau verificat.

Ca de obicei VBScript ne sare in ajutor. Mai jos avem un exemplu de script care verifica toti userii dintr-un anumit OU din AD si activeaza optiunea Allow inheritable permissions.

‘Script created by Andrei Ungureanu
‘www.winadmin.ro

On Error Resume Next

Const ADS_SCOPE_SUBTREE = 2
Const SE_DACL_PROTECTED = 0

Set objConnection = CreateObject("ADODB.Connection")
Set objCommand =   CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"
Set objCommand.ActiveConnection = objConnection

objCommand.Properties("Size Limit")= 10000

objCommand.Properties("Page Size") = 10000
objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE

objCommand.CommandText = _
"<LDAP://ou=accounts,dc=itboard,dc=local>;"_
& "(objectCategory=user);sAMAccountName,distinguishedname;subtree"

Set objRecordSet = objCommand.Execute

objRecordSet.MoveFirst
Do Until objRecordSet.EOF

userDN = objRecordSet.Fields("distinguishedName").Value
set objObject = getobject("LDAP://" & userDN & "")
Set objntSD = objObject.Get("nTSecurityDescriptor")

intNTSDControl = objNtSD.Control

If intNTSDControl <> 35844 Then
    ‘ Enable "allow inheritable permissions".
    intNTSDControl = intNTSDControl And SE_DACL_PROTECTED
    objntSD.Control = intNTSDControl
    objObject.Put "nTSecurityDescriptor", objntSD
    objObject.SetInfo
    WScript.Echo "Obiectul " & userDN & " a fost modificat"
End If

objRecordSet.MoveNext
Loop

Calea LDAP://ou=accounts,dc=itboard,dc=local trebuie inlocuita cu locatia in care avem obiectele ce trebuiesc scanate. Merge specificat chiar si domain root insa nu recomand asa ceva. Recomand ca inainte sa folositi scriptul, sa il verificati pe un mediu de test.

PS: scriptul merge modificat foarte usor si doar pentru a arata starea bifei Allow inheritable permissions.

Un exemplu pentru folosirea acestui script ar fi un subnet cu ip-uri puse static si unde trebuie sa schimbi adresa serverului de DNS la toate sistemele. Sau un sistem setat cu IP static pe care vrei sa-l treci pe DHCP. Hai sa vedem si cateva exemple.

Cand pentru numele calculatorului folosim “.” inseamna ca ne conectam la sistemul local. Scriptul urmator trece pe DHCP toate adaptoarele de retea care au TCP/IP activat:

strComputer = "."
set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colItems = objWMIService.ExecQuery("Select * From Win32_NetworkAdapterConfiguration Where IPEnabled = 1")

For Each objItem in colItems
    If objItem.DHCPEnabled = False then
      errDHCP = objItem.EnableDHCP()

      errDNS = objItem.SetDNSServerSearchOrder() 
    End If
Next

Bun. Acum sa luam cazul in care vrem sa trecem de pe DHCP pe IP fix. Pentru asta folosim metoda EnableStatic care primeste 2 parametri IP Address si Subnet Mask sub forma:

errStaticIP = objItem.EnableStatic(array(“192.168.0.10”),array(”255.255.255.0”))

errDNS = objItem.SetDNSServerSearchOrder(array(“192.168.0.100, 192.168.0.101”)) 

Ce altceva mai putem sa setam? WINS de exemplu:

errWins = objItem.SetWINSServer (array(“192.168.0.100, 192.168.0.101”))

Pe scurt, puteti seta cam orice legat de configuratia TCP/IP prin script. Chiar si combinatii mai ciudate cu IP luat prin DHCP si DNS pus manual. Unul din scripturile facute in ultimul timp (pe genunchi) se conecta la toata sistemele dintr-un anumit subnet si imi dadea informatii despre clientul de DHCP: cand si-a luat IP ultima data, cand expira leaseul, de la ce server si-a luat IP, etc.

Concluzie: daca trebuie sa treceti o retea intreaga pe DHCP nu e nevoie sa vizitati fiecare calculator in parte. Merge si remote.

Pentru asta folosim colectia WScript.Arguments. Si putem verifica daca au fost specificati parametri folosing proprietatea Count:

arguments = WScript.Arguments.Count

Urmand a face si o verificare:

If arguments < 1 then
  WScript.Echo “Ati uitat sa specificati parametrii. Exemplu: cscript script.vbs [parametru]”
  WScript.Quit
end If

Daca se trece mai departe de conditia If putem sa citim parametrii:

param1 = WScript.Arguments.Item(0)

Wscript.Echo param1

Daca avem mai multi citim si celelalte obiecte din colectie ex:WScript.Arguments.Item(1) (ati prins ideea).

PS: by default scripturile sunt rulate folosind Wscript.exe atunci cand pornesti scriptul din Explorer. (comportamentul default merge modificat) Recomandat e sa rulati scripturile folosind Cscript.exe (ex: cscript myscript.vbs parametru) pentru a primi output-ul in fereastra din care ati lansat scriptul si pentru a-l putea redirecta.