Подключение к AD из-под локального админа (пользователя) DirectoryServices.DirectoryEntry

@Gouru · Регистрация: 05.10.2017

Студворк — интернет-сервис помощи студентам

PowerShell
1
2
3
4
5
6
7
8
9
10
11
12
13
$DomainName = "mydom.local"
$DomainNameArray = $DomainName -split "\."
$ADUserName = "superADuser"
$DomainUserName = "$DomainName\$ADUserName"
$DomainUserPass = 'Pa$$'
$SamAccountName = "pavlik-morozov"
 
$DirectoryEntryObj = New-Object System.DirectoryServices.DirectoryEntry("LDAP://DC=$($DomainNameArray[0]),DC=$($DomainNameArray[1])",$DomainUserName,$DomainUserPass)
$DirectoryEntryObj.distinguishedName
#
$searcher=New-Object System.DirectoryServices.DirectorySearcher($DirectoryEntryObj,"(&(objectCategory=User)(sAMAccountname=$SamAccountName))")
$searcher.FindOne().GetDirectoryEntry()
"etc."

Есть такой скриптик для запросов в AD.
Выполняет свою функцию, если запускается из-под доменного пользователя.
Если исполнять его из-под локального админа, в чем его основная цель, то выдает ошибку, что заданное имя домена отсутствует или недоступно...
P.S. Альтернатива с использованиеми команд (Get-ADUser, Get-ADComputer) из AD-модуля работает, как из под доменного пользователя, т.к. и из-под локального админа, но AD-модуль не на всех машинах присутствует.

@Maks · 04.01.2018, 16:47

Сообщение от Gouru

Если исполнять его из-под локального админа, в чем его основная цель, то выдает ошибку, что заданное имя домена отсутствует или недоступно...

И правильно выдает, у локального админа нет доменных прав, ведь он по отношению к серверу AD в буквальном смысле никто.
Для ввода машины в домен нужна учетная запись доменного пользователя или доменного админа.

@Gouru · 04.01.2018, 16:59 **[ТС]**

Сообщение от Maks

И правильно выдает, у локального админа нет доменных прав, ведь он по отношению к серверу AD в буквальном смысле никто.

Согласен. Поэтому в запросе я подключаюсь к AD с использованием имени и пароля доменного пользователя с рассширенными правами (Supervisor):
$DomainUserName,$DomainUserPass

PowerShell
1
$DirectoryEntryObj = New-Object System.DirectoryServices.DirectoryEntry("LDAP://DC=$($DomainNameArray[0]),DC=$($DomainNameArray[1])",$DomainUserName,$DomainUserPass)

@Maks · 04.01.2018, 17:05

Gouru, тогда в чем вопрос по сабжу?
И что в Вашем понимании означает AD-модуль?

@Gouru · 04.01.2018, 17:41 **[ТС]**

Сообщение от Maks

Gouru, тогда в чем вопрос по сабжу?

Полный скрипт должен запускаеться от имени локального администратора и в запросе (типа того который я указал) необходимо получить сведения из AD о, например, пользователе домена, который состоит в локальной группе этого PC.

Сообщение от Maks

И что в Вашем понимании означает AD-модуль?

Поддержка AD в Powershell из RSAT.
Хотя это и не относится к этой теме, но может быть так будет понятно:

PowerShell
1
Import-Module ActiveDirectory

@Maks · 05.01.2018, 06:15

Сообщение от Gouru

Полный скрипт должен запускаеться от имени локального администратора и в запросе (типа того который я указал) необходимо получить сведения из AD о, например, пользователе домена, который состоит в локальной группе этого PC.

Не получится, все по той же причине:

Сообщение от Maks

у локального админа нет доменных прав, ведь он по отношению к серверу AD в буквальном смысле никто.

Если Вы хотите получить данные о пользователе домена непосредственно обращаясь к серверу AD, то выполнять скрипт необходимо от имени доменной учетки.

Добавлено через 12 часов 24 минуты
Попробуйте запустить скрипт от имени доменного администратора.

@KDE777 · 05.01.2018, 16:51

Сообщение от Gouru

Выполняет свою функцию, если запускается из-под доменного пользователя.
Если исполнять его из-под локального админа, в чем его основная цель, то выдает ошибку, что заданное имя домена отсутствует или недоступно...

Локальный пользователь ничего не знает про имя/адрес DC, поэтому попробуйте так (192.168.1.1 - IP ближайшего DC/GC):

PowerShell
1
$DirectoryEntryObj = New-Object System.DirectoryServices.DirectoryEntry("LDAP://192.168.1.1/DC=$($DomainNameArray[0]),DC=$($DomainNameArray[1])",$DomainUserName,$DomainUserPass)

Сообщение от Maks

Для ввода машины в домен нужна учетная запись доменного пользователя или доменного админа.

Здесь речь идёт о ldap-поиске в AD. Никакой ПК при этом в AD не добавляется.

Сообщение от Maks

Попробуйте запустить скрипт от имени доменного администратора.

Для ldap-поиска в AD, в большинстве случаев, достаточно прав и доменного гостя...

Новые блоги и статьи Все статьи Все блоги /
Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .
SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL3_image 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .

@Maks Супер-модератор 9359 / 5149 / 616 Регистрация: 13.03.2013 Сообщений: 18,201 Записей в блоге: 17
	04.01.2018, 17:05
	Gouru, тогда в чем вопрос по сабжу? И что в Вашем понимании означает AD-модуль? 0