Ondrej Sevecek's Blog

To mi připomíná jinou zajímavost. Máme skript třeba na vytváření AD uživatelů, kterej pouštíme pod doménovým adminem (přes RDP přihlášen čipovkou). A on se klidně dvakrát zeptá na PIN k čipovce. A zpravidla se to okno neukáže na popředí, ale otevře se někde v pozadí, kde si ho člověk musí sám najít odlovit, aby skript pokračoval :) Proč to?

Jo a není to žádná specialita skriptu, stačí fakt jen obyčejný vytvoření uživatele.

tak a) já nepoužívám ten podivnej AD modul, kterej není žádnej LDAP, ale nějakej podivnej web servis a jako takovej mu patří tak akorát veliké "fuj".

b) zřejmě to dělá nějakej remouting, takže to je infrastruktura jako prase - viz. například tady: https://www.sevecek.com/Lists/Posts/Post.aspx?ID=276. Takže bych očekával cokoliv.

c) pokud se to ptá na heslo, tak se to prostě ptá i na PIN. To že se to ptá dvakrát je zřejmě kombinace různejch procesů (winrm apod.) a izolace kryptografie do LSASSu apod.

d) zdá se tedy, že to prostě na to není nějak vyladěný.

e) doporučuju používat normální Kerberos ověření, tam se to ptát nebude.

Zkusím to popsat přesnějc. Přihlásím se na vzdálenou plochu čipovkou. Tam pustim Powershell. A v něm něco jako:

$OU = [adsi]"LDAP://$targetOU"
$global:newuser = $OU.Create("User", "cn=$cn")
$newuser.Put("userPrincipalName", $UPN)
$newuser.Put("displayName", $DisplayName)
$newuser.Put("samAccountName", $Sam)
$newUser.put("pwdLastset",0)
$newUser.SetPassword("xxxxxxx")
$newuser.SetInfo()

Úplně stejně se ale chová i VBscript:

Set objRootLDAP = GetObject("LDAP://rootDSE")
Set objContainer = GetObject("LDAP://cn=Users," & _
objRootLDAP.Get("defaultNamingContext"))
Set objNewUser = objContainer.Create("User", "cn=" & strUser)
objNewUser.Put "sAMAccountName", strUser
objNewUser.SetInfo
ObjNewUser.SetPassword "MyPassword123"
objNewUser.Put "PasswordExpired", CLng(1)
objNewUser.AccountDisabled = FALSE

Vždy vyskočí hláška o zadání PINu. Tak se to chová od začátku, co máme čipovky a choval se tak každý skript na zakládání uživatelů, ať už byl napsaný kýmkoliv a v čemkoliv. Pokud se na RDP přihlásím heslem a ne čipovkou, tak se myslím na nic neptá (dlouho jsem to nezkoušel).

Teď jsem si ještě hrál s tím VBS a zjistil jsem, že dotaz na PIN vyvolá konkrétně řádek na nastavení hesla. Z toho už by se třeba dalo něco usoudit.

testuju...

ano, dělá to tak. jednou to chce PIN. ale když to CANCEL, tak to stejně proběhne v pořádku, takže ten PIN není důležitý.

zajímavé.

poznámka - máš tam špatné pořadí. nemůžeš dělat SetPassword dříve, než ten nový účet SetInfo()

Pořadí - ok, já to vykopíroval ze skriptu, kde je toho mnohem víc. Je to jeden ze skriptů, kterej jsem si nechal napsat od Maliny - má skoro 2000 řádků :) Ale má to všechno pěkně ošetřený, takže nám i po pár vlastních úpravách a změnách na doméně stále pěkně slouží.

skript je včetně GUI se zadáváním všech potřebných údajů, pěkně nám to tehdy napsal...

A jak tam pls dodat heslo nejak sikovne bezpecneji, aby to nebylo primo jako plain text v tom skriptu? :)

odpověď je tady: https://www.sevecek.com/Lists/Posts/Post.aspx?ID=508