15.16 ADSI. Работа с объектом домена и интерфейс IADSDomain

Объект домена в скриптах ADSI на VBScript, интерфейс IADSDomain, создание организационных подразделений (OU) верхнего уровня, настройки политик безопасности, свойства AutoUnlockInterval, IsWorkgroup, LockoutObservationInterval, MinPasswordAge, MinPasswordLength, MaxBadPasswordsAllowed, MaxPasswordAge, PasswordAttributes, PasswordHistoryLength

Объект домена в ADSI используется чаще всего для следующих целей:

• как базовый объект для поиска. Например, предположим, что нам нужно найти все учетные записи пользователей в домене с определенным признаком. Обычно для проведения поиска объект домена создавать нет необходимости: достаточно передать путь к этому домену в формате свойства AdsPath поисковому запросу;
• для создания организационных подразделений верхнего уровня. Для этой цели обычно используется метод Create() базового интерфейса IADsContainer. Например, чтобы создать организационное подразделение IT непосредственно под уровнем домена, можно использовать следующий код:

Dim oDomain

Dim oOU

Set oDomain = GetObject("LDAP://DC=nwtraders1,DC=msft")

Set oOU = oDomain.Create("organizationalUnit", "OU=IT")

oOU.SetInfo

• для настройки политик безопасности на уровне домена. Для этой цели используется специализированный интерфейс IADsDomain.

В интерфейсе IADsDomain реализованы только свойства (методов в нем не предусмотрено). Обращаться к ним почему-то можно только через провайдер WinNT. Однако каждому свойству интерфейса IADsDomain соответствует атрибут объекта домена в Active Directory, и, если вам принципиально использовать именно провайдер LDAP, можно работать напрямую через значения атрибутов и интерфейсы IADsPropertyList, IADsPropertyEntry и IADsPropertyValue (см. разделы 15.13, 15.14 и 15.15).

Работа со всеми свойствами выглядит одинаково. Например, чтобы получить значение свойства MinPasswordLength (минимальная длина пароля, допустимая для учетных записей данного домена), можно использовать код вида

Dim oDomain

Set oDomain = GetObject("WinNT://nwtraders1.msft")

Wscript.Echo oDomain.MinPwdLength

Для изменения значения этого свойства можно использовать код

Dim oDomain

Set oDomain = GetObject("WinNT://nwtraders1.msft")

oDomain.MinPasswordLength = 14

oDomain.SetInfo

Wscript.Echo oDomain.MinPasswordLength

Ниже представлена информация о всех свойствах интерфейса IADsDomain:

• AutoUnlockInterval — определяет количество секунд, по истечении которых заблокированная (по причине того, что несколько раз был введен неверный пароль) учетная запись будет разблокирована автоматически. Соответствует параметру Блокировка учетной записи на в редакторе групповых политик и атрибуту lockoutDuration объекта домена в Active Directory. По умолчанию в домене Windows 2003 — 1800 секунд (30 минут).
• IsWorkgroup — в ADSI версии 2.5 и более поздних это свойство больше не поддерживается.
• LockoutObservationInterval — время, в течение которого в оперативной памяти контроллера домена хранится информация о количестве попыток входа с неверным паролем. Соответствует параметру Сброс счетчика блокировки через в редакторе групповых политик и атрибуту lockOutObservationWindow (Out почему-то с большой буквы) объекта домена в Active Directory. По умолчанию в домене Windows 2003 — 1800 секунд (30 минут).
• MinPasswordAge — минимальное время жизни пароля для учетных записей в домене в секундах. В течение этого времени пользователь не может поменять свой пароль. Этот параметр появился для того, чтобы пользователь не мог сразу после смены пароля еще несколько раз поменять свой пароль и, обойдя счетчик истории паролей, опять вернуться к старому паролю. Соответствует параметру Мин. срок действия пароля в редакторе групповых политик и атрибуту minPwdAge объекта домена в Active Directory. По умолчанию в домене Windows 2003 — 86400 секунд (24 часа).
• MinPasswordLength — минимальная длина пароля в символах. В связи с особенностями хэширования паролей в Windows рекомендуется выбирать значения, кратные 7 (например, 7 или 14). Соответствует параметру Мин. длина пароля в редакторе групповых политик и атрибуту minPwdLength объекта домена в Active Directory. По умолчанию в домене Windows 2003 — 7 символов.
• MaxBadPasswordsAllowed — максимальное число попыток входа с неверным паролем. По достижении этого порогового значения учетная запись пользователя блокируется. Соответствует параметру Пороговое значение блокировки в редакторе групповых политик и атрибуту lockoutThreshold объекта домена в Active Directory. По умолчанию в домене Windows 2003 — 0, что значит, что блокировка учетных записей отключена.
• MaxPasswordAge — максимальная продолжительность жизни пароля (в секундах). По достижении данного срока пользователю будет предложено поменять пароль. Соответствует параметру Макс. срок действия пароля в редакторе групповых политик и атрибуту maxPwdAge объекта домена в Active Directory. По умолчанию в домене Windows 2003 это значение равно 3710851 секунде (примерно 43 дня).
• PasswordAttributes — это свойстство должно определять требования к сложности паролей учетных записей пользователей. Для него предусмотрено три значения:
• 0 — требований на сложность пароля не предусмотрено;
• 1 — пароль должен включать символы в разном регистре;
• 2 — пароль должен включать по крайней мере один служебный символ.

К сожалению, попытка обратиться к этому свойству приводит к сообщению "Свойства службы каталогов не могут быть найдены в кэше". Поэтому вместо этого свойства придется использовать параметр Пароль должен отвечать требованиям сложности в редакторе групповых политик или атрибут pwdProperties объекта домена в Active Directory. По умолчанию в домене Windows 2003 это значение равно 1.

• PasswordHistoryLength — количество паролей, сохраняемых в виде истории. Назначение этого параметра — запретить пользователю повторно использовать свои старые пароли. Соответствует параметру Требовать неповторямости паролей в редакторе групповых политик и атрибуту pwdHistoryLength объекта домена в Active Directory. По умолчанию в домене Windows 2003 для этого свойства установлено значение 24.

Получить учебные материалы по этому курсу