home *** CD-ROM | disk | FTP | other *** search

---

/ ftp.ac-grenoble.fr / 2015.02.ftp.ac-grenoble.fr.tar / ftp.ac-grenoble.fr / assistance.logicielle / XP_ServicePack-3.iso / support / tools / support.cab / clonegg.vbs

< prev

next >

Wrap

Text File  |  2001-08-17  |  33KB  |  1,121 lines

---

1.  
2. ' clonegg.vbt start
3.  
4. ' CloneSecurityPrincipal VBScript
5. '
6. ' Clone all Global Groups in a domain 
7. '
8. ' Copyright (C) 1999 Microsoft Corporation.
9.  
10. option explicit
11.  
12. const SCRIPT_FILENAME    = "clonegg.vbs"
13. const SCRIPT_SOURCE_NAME = "clonegg.vbt"      
14. const SCRIPT_DATE        = "Aug 17 2001"      
15. const SCRIPT_TIME        = "12:42:13"      
16.  
17.  
18.  
19.  
20.  
21.  
22.  
23.  
24.  
25.  
26.  
27.  
28. ' clonepr.vbi start
29.  
30.  
31.  
32.  
33.  
34.  
35.  
36.  
37.  
38. ' various manifest constants
39. const CLASS_USER         = 0
40. const CLASS_LOCAL_GROUP  = 1
41. const CLASS_GLOBAL_GROUP = 2
42. const CLASS_OTHER        = 3
43.  
44. ' the elements of this array are indexed by the above constants
45. dim classNames(2)
46. classNames(CLASS_USER)         = "User" 
47. classNames(CLASS_LOCAL_GROUP)  = "Group"
48. classNames(CLASS_GLOBAL_GROUP) = "Group"
49.  
50. ' from iads.h
51. const ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP     = &H4       
52. const ADS_GROUP_TYPE_GLOBAL_GROUP           = &H2
53. const ADS_GROUP_TYPE_UNIVERSAL_GROUP        = &H8
54. const ADS_GROUP_TYPE_SECURITY_ENABLED       = &H80000000
55. const ADS_NAME_INITTYPE_DOMAIN              = 1         
56. const ADS_NAME_INITTYPE_SERVER              = 2         
57. const ADS_NAME_TYPE_1779                    = 1         
58. const ADS_NAME_TYPE_NT4                     = 3         
59. const ADS_NAME_TYPE_SID_OR_SID_HISTORY_NAME = 12        
60. const ADS_PROPERTY_APPEND                   = 3         
61. const ADS_PROPERTY_DELETE                   = 4         
62. const ADS_PROPERTY_UPDATE                   = 2         
63.  
64. ' from lmaccess.h
65. const UF_TEMP_DUPLICATE_ACCOUNT = &H0100
66. const UF_NORMAL_ACCOUNT         = &H0200
67.  
68. ' from andyhar's adsi reskit
69. const ADS_SID_RAW                   = 0
70. const ADS_SID_HEXSTRING             = 1
71. const ADS_SID_SDDL                  = 4
72. const ADS_SID_WINNT_PATH            = 5
73. const ADS_SID_ACTIVE_DIRECTORY_PATH = 6
74.  
75. const E_ADS_UNKNOWN_OBJECT          = &H80005004
76. const E_ADS_ERROR_DS_NO_SUCH_OBJECT = &H80072030
77. const E_ADS_ERROR_DS_NAME_NOT_FOUND = &H80072116
78.  
79.  
80.  
81. ' create the COM object implementing ICloneSecurityPrincipal
82. dim clonepr
83. set clonepr = CreateObject("DSUtils.ClonePrincipal")
84. if Err.Number then DumpErrAndQuit
85.  
86. ' create the COM object implementing IADsNameTranslate
87. dim nameTranslate
88. set nameTranslate = CreateObject("NameTranslate")
89. if Err.Number then DumpErrAndQuit
90.  
91. ' create the COM object implementing IADsPathname
92. dim adsPathname
93. set adsPathname = CreateObject("Pathname")
94. if Err.Number then DumpErrAndQuit
95.  
96. ' create the COM object implementing IADsError
97. dim adsError
98. set adsError = CreateObject("DSUtils.ADsError")
99. if Err.Number then DumpErrAndQuit
100.  
101. ' create the COM object implementing IADsSID
102. dim sid
103. set sid = CreateObject("DSUtils.ADsSID")
104. if Err.Number then DumpErrAndQuit
105.  
106.  
107.  
108. '
109. ' functions and subroutines follow
110. '
111.  
112.  
113. sub CloneSecurityPrincipal(byref srcObject, byval srcSam, byval dstDom, byval dstDC, byval dstSam, byval dstDN)
114.    on error resume next
115.  
116.    ' verify that the source object is of a type that we support
117.    dim srcObjectClass
118.    srcObjectClass = ObjectClass(srcObject)
119.  
120.     select case srcObjectClass
121.         case CLASS_USER
122.             if srcObject.UserFlags and UF_TEMP_DUPLICATE_ACCOUNT then
123.                 Echo "Source object is a temporary local user account, which is not supported."
124.              wscript.quit(0)            
125.             end if 
126.       case CLASS_LOCAL_GROUP
127.       case CLASS_GLOBAL_GROUP
128.          ' do nothing
129.       case else
130.          ' not a supported object class
131.          Echo "Source object is of type " & srcObject.Class & ", which is not supported by this tool."
132.          wscript.quit(0)
133.    end select
134.  
135.    ' bind to the destination object
136.  
137.    ' we attempt to locate the destination object by it's sam account name, in
138.    ' order to determine if that name is already in use by a security principal
139.    ' in the destination domain.
140.  
141.    dim dstObjectSamPath
142.    dstObjectSamPath = "WinNT://" & dstDom & "/" & dstDC & "/" & dstSam
143.  
144.    dim dstObjectDNPath
145.    dstObjectDNPath = "LDAP://" & dstDC & "/" & dstDN
146.  
147.    dim dstObjectClass
148.    dim dstObject
149.  
150.    Err.Clear
151.    set dstObject = GetObject(dstObjectSamPath)
152.    dim errnum1
153.    errnum1 = Err.Number
154.    select case errnum1
155.       case E_ADS_UNKNOWN_OBJECT
156.          ' destination is not found
157.  
158.          Echo "Destination object " & dstSam & " not found (by SAM name) path used: " & dstObjectSamPath
159.  
160.          ' bind to the DN of the object, then
161.          Err.Clear
162.          set dstObject = GetObject(dstObjectDNPath)
163.          dim errnum2
164.          errnum2 = Err.Number
165.          select case errnum2
166.             case E_ADS_ERROR_DS_NO_SUCH_OBJECT
167.                Echo "Destination object " & dstDN & " not found (by DN) path used: " & dstObjectDNPath
168.  
169.                ' create the dstDN object of the same type as the source
170.                Err.Clear
171.                set dstObject = CreateDestinationDN(dstSam, dstDN, dstDC, srcObjectClass)
172.  
173.             case 0
174.                ' dstDN found
175.  
176.                Echo "Destination DN found"
177.  
178.                dstObjectClass = ObjectClass(dstObject)
179.  
180.                if dstObjectClass <> srcObjectClass then
181.                   Bail "Source and destination objects differ in class type."
182.                end if
183.  
184.                if UCase(dstObject.SamAccountName) <> UCase(dstSam) then
185.                   ' sam name of the object is not the same as the sam name
186.                   ' specified on the command line
187.                   Bail "SAM account name of " & dstDN & " is " & dstObject.SamAccountName & " not " & dstSam
188.                end if
189.  
190.             case else
191.                Echo "Error attempting to bind to " & dstObjectDNPath
192.                DumpErrAndQuit
193.  
194.          end select
195.  
196.       case 0
197.          ' dstSam found.  Find the DN of the object it refers to
198.  
199.          Echo "Destination SAM name found"
200.  
201.          nameTranslate.Init ADS_NAME_INITTYPE_SERVER, dstDC
202.          if Err.Number then DumpErrAndQuit
203.  
204.          nameTranslate.Set ADS_NAME_TYPE_NT4, dstDom & "\" & dstSam
205.          if Err.Number then DumpErrAndQuit
206.  
207.          dim foundDN
208.          foundDN = nameTranslate.Get(ADS_NAME_TYPE_1779)  ' aka full DN
209.          if Err.Number then DumpErrAndQuit
210.  
211.          Echo dstSam & " refers to " & foundDN
212.  
213.          if UCase(dstDN) <> UCase(foundDN) then
214.             ' sam name is in use by another object than the one the user
215.             ' indicated.
216.             Bail "SAM account name " & dstSam & " is in use by object " & foundDN & ", not " & dstDN
217.          end if
218.  
219.          ' at this point, we've verified that the sam name specified by the
220.          ' user matches the DN.  Now verify that the DN refers to an object
221.          ' of the same type as the source  
222.  
223.          set dstObject = GetObject("LDAP://" & dstDC & "/" & foundDN)
224.          if Err.Number then DumpErrAndQuit
225.  
226.          dstObjectClass = ObjectClass(dstObject)
227.          if dstObjectClass <> srcObjectClass then
228.             Bail "Source and destination objects differ in class type."
229.          end if
230.  
231.       case else
232.          Echo "Error attempting to bind to destination object " & dstObjectSamPath
233.          DumpErrAndQuit
234.    end select
235.  
236.    ' at this point, dstObject is bound to the object onto which we
237.    ' should clone the source object 
238.  
239.    ' copy the source object's properties
240.    Echo "Setting properties for target " & dstObject.Class & " " & dstObject.Name
241.    select case srcObjectClass
242.       case CLASS_USER
243.  
244.          ' copy the properties of the source user to the destination user
245.          clonepr.CopyDownlevelUserProperties srcSam, dstSam, 0
246.          if Err.Number then DumpErrAndQuit
247.  
248.          Echo "Downlevel properties set."
249.  
250.          ' fixup the destination user's group memberships
251.  
252.          FixupUserGroupMemberships srcObject, dstObject, dstDC
253.          if Err.Number then DumpErrAndQuit
254.  
255.          Echo "User's Group memberships restored."
256.  
257.          ' commit the changes
258.          dstObject.SetInfo
259.          if Err.Number then DumpErrAndQuit
260.  
261.          Echo "User changes commited."
262.  
263.       case CLASS_LOCAL_GROUP
264.          ' copy the source group's description
265.          if srcObject.Description <> "" then 
266.             dstObject.Put "Description", srcObject.Description
267.             dstObject.SetInfo
268.             if Err.Number then DumpErrAndQuit
269.          end if
270.  
271.          Echo "Local group description set."
272.  
273.          ' copy the source local group's membership
274.          CopyLocalGroupMembership srcObject, dstObject
275.          if Err.Number then DumpErrAndQuit
276.  
277.          Echo "Local group membership copied."
278.  
279.          ' commit the changes
280.          dstObject.SetInfo
281.          if Err.Number then DumpErrAndQuit
282.  
283.          Echo "Local group changes commited."
284.  
285.       case CLASS_GLOBAL_GROUP
286.          ' copy the source group's description
287.          if srcObject.Description <> "" then 
288.             dstObject.Put "Description", srcObject.Description
289.             dstObject.SetInfo
290.             if Err.Number then DumpErrAndQuit
291.          end if
292.  
293.          Echo "Global group description set."
294.  
295.          ' fixup the destination group's members
296.          FixupGlobalGroupMembers srcObject, dstObject, dstDC
297.          if Err.Number then DumpErrAndQuit
298.  
299.          Echo "Global group memberships restored."
300.  
301.          ' commit the change
302.          dstObject.SetInfo
303.          if Err.Number then DumpErrAndQuit
304.  
305.          Echo "Global group changes commited."
306.  
307.       case else
308.          ' why are we here?  what is my purpose in life?
309.          wscript "illegal code path"
310.          wscript.quit(0)
311.  
312.    end select
313.  
314.    ' Add the SID of the source principal to the sid history of the destination
315.    ' principal.
316.    Echo "Adding SID for source " & srcObject.Class & " " & srcObject.Name & " to SID history of target " & dstObject.Class & " " & dstObject.Name
317.    clonepr.AddSidHistory srcSam, dstSam, 0
318.    if Err.Number then DumpErrAndQuit
319.  
320.    Echo "SID history set successfully."
321.  
322.    ' all done
323.    Echo srcObject.Name & " cloned successfully."
324. end sub
325.  
326.  
327.  
328. ' Create a DS security principal object, and return a bound reference to it.
329. ' 
330. ' samName - in, sam account name of object-to-be
331. '
332. ' DN - in, full DN of the object to be created
333. '
334. ' DC - in, name of domain controller on which the object is to be created
335. '
336. ' objectClass - in, CLASS_ constant for the type of object to create
337.  
338. function CreateDestinationDN(byval samName, byval DN, byval DC, byval objectClass)
339.    on error resume next
340.    Echo "Creating " & DN
341.  
342.    ' determine the name of the container to place the new object by removing
343.    ' the leaf-most portion of the DN
344.    dim p
345.    p = InStr(1, DN, ",", 1)
346.  
347.    dim dstCN
348.    dstCN = Mid(DN, 1, p - 1)  ' - 1 to omit the comma
349.  
350.    dim ouDN, ouDNPath
351.    ouDN = Mid(DN, p + 1)   ' + 1 to skip the comma
352.    ouDNPath = "LDAP://" & DC & "/" & ouDN
353.       
354.    dim container, errnum3
355.    set container = GetObject(ouDNPath)
356.    select case Err.Number
357.       case E_ADS_ERROR_DS_NO_SUCH_OBJECT
358.          Bail "Container " & ouDN & " not found"
359.       case 0
360.          ' do nothing
361.       case else
362.          Echo "Error attempting to bind to " & ouDN
363.          DumpErrAndQuit
364.    end select
365.  
366.    dim dstObject
367.    set dstObject = container.Create(classNames(objectClass), dstCN)
368.    if Err.Number then
369.       Echo "Error attempting to create " & DN
370.       DumpErrAndQuit
371.    end if
372.  
373.    dstObject.Put "samAccountName", samName
374.    if Err.Number then
375.       Echo "Error attempting to set samAccountName for " & DN
376.       DumpErrAndQuit
377.    end if
378.  
379.    select case objectClass
380.       case CLASS_USER
381.          ' nothing more to add
382.  
383.       case CLASS_LOCAL_GROUP
384.          ' set group type to local
385.          dstObject.Put "groupType", ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP + ADS_GROUP_TYPE_SECURITY_ENABLED
386.          if Err.Number then
387.             Echo "Error attempting to set local group type for " & DN
388.             DumpErrAndQuit
389.          end if
390.  
391.       case CLASS_GLOBAL_GROUP
392.          ' set group type to global
393.          dstObject.Put "groupType", ADS_GROUP_TYPE_GLOBAL_GROUP + ADS_GROUP_TYPE_SECURITY_ENABLED
394.          if Err.Number then
395.             Echo "Error attempting to set global group type for " & DN
396.             DumpErrAndQuit
397.          end if
398.  
399.    end select
400.  
401.    dstObject.SetInfo
402.    if Err.Number then
403.       Echo "Error attempting to commit create of " & DN
404.       DumpErrAndQuit
405.    end if
406.  
407.    Echo "Created " & DN
408.  
409.    set CreateDestinationDN = dstObject
410. end function
411.  
412.  
413.  
414. ' for each group to which the source user object belongs, look for that
415. ' group's sid in the sid histories of objects in the destination forest
416. ' (domain?).  If found, add the destination user as a member of the located
417. ' group.  Thus, when a user is cloned, the clone becomes a member of all the
418. ' existing cloned groups corresponding to the original groups the
419. ' orignal user belonged to.
420.  
421. sub FixupUserGroupMemberships(byref srcObject, byref dstObject, byval dstDC)
422.    on error resume next
423.    Echo "Fixing group memberships for " & dstObject.Class & " " & dstObject.Name
424.  
425.    nameTranslate.Init ADS_NAME_INITTYPE_SERVER, dstDC
426.    if Err.Number then DumpErrAndQuit
427.  
428.    dim group
429.    dim sidString
430.    for each group in srcObject.Groups
431.       if (ObjectClass(group) = CLASS_GLOBAL_GROUP) then
432.          Echo "  Found global group " & group.ADsPath
433.  
434.          sid.SetAs ADS_SID_WINNT_PATH, group.AdsPath & "," & group.Class
435.          if Err.Number then DumpErrAndQuit
436.  
437.          sidString = sid.GetAs(ADS_SID_SDDL)
438.          if Err.Number then DumpErrAndQuit
439.  
440.          if IsBuiltInSid(sidString) then
441.             Echo "  " & group.ADsPath & " is a built-in group"
442.  
443.             ' built-ins are present in every domain with the same sid.  So we
444.             ' can't search for the corresponding destination object by sid, or
445.             ' we may be multiple matches (if there is more than 1 domain in the
446.             ' destination forest, and the destination DC also happens to be
447.             ' a global catalog).  So, here we compose a sid-style LDAP path
448.             ' for the built-in destination object.
449.  
450.             sidString = "<sid=" & sid.GetAs(ADS_SID_HEXSTRING) & ">"
451.             if Err.Number then DumpErrAndQuit
452.  
453.             dim mypath
454.             mypath = "LDAP://" & dstDC & "/" & sidString
455.  
456.             dim mygroup
457.             set mygroup = GetObject(mypath)
458.             if Err.Number then DumpErrAndQuit
459.  
460.             if not IsUserMemberOfGroup(mygroup, dstObject) then
461.                Echo "  Adding " & dstObject.Name & " to group " & mygroup.Name
462.                mygroup.Add dstObject.AdsPath
463.             else
464.                Echo "  " & dstObject.Name & " is already member of " & mygroup.Name
465.             end if
466.             if Err.Number then DumpErrAndQuit 
467.          else
468.  
469.             ' find the DN of the object with that sid as its object sid or in
470.             ' its sid history (the sid history is where it will be, if the object
471.             ' is a clone).
472.  
473.             nameTranslate.Set ADS_NAME_TYPE_SID_OR_SID_HISTORY_NAME, sidString
474.             select case Err.Number
475.                case E_ADS_ERROR_DS_NAME_NOT_FOUND
476.                   ' do nothing: skip this member; it hasn't been cloned yet
477.  
478.                   Echo "  Skipping " & group.ADsPath & " -- not cloned yet"
479.  
480.                case 0
481.                   ' found!
482.                   dim foundDN
483.                   foundDN = ""
484.                   foundDN = nameTranslate.Get(ADS_NAME_TYPE_1779)  ' aka full DN
485.  
486.                   select case Err.Number
487.                      case E_ADS_ERROR_DS_NAME_NOT_FOUND
488.                         ' do nothing: skip this member; it hasn't been cloned yet
489.                      case 0
490.                         AddUserToGroup dstObject, foundDN, dstDC
491.                      case else
492.                         DumpErrAndQuit
493.                   end select
494.  
495.                case else
496.                   DumpErrAndQuit
497.  
498.             end select
499.          end if
500.       else
501.          Echo "  Skipping group " & group.AdsPath & " -- not global group"
502.       end if
503.  
504.       ' need to clear this so next iteration won't choke.
505.       Err.Clear
506.    next
507. end sub
508.  
509.  
510.  
511. ' for each member of the source local group, obtain the member's SID and add
512. ' that SID as a member of the destination local group.  If that SID does not
513. ' refer to a security principal in the destination domain, then the SAM will
514. ' create a Foreign Principal Object (FPO) to represent that SID.  then SAM
515. ' will replace the reference to the SID in the group membership with the DN
516. ' of the FPO.  An FPO acts like a proxy for the SID.
517.  
518. sub CopyLocalGroupMembership(byref srcObject, byref dstObject)
519.    on error resume next
520.  
521.    Echo "Copying local group membership"
522.  
523.    ' get the sids in string form of each of the members of the source
524.    ' group.  collect them in an array
525.    dim member
526.    dim sidString
527.    dim sidStringArray()
528.    dim i
529.    i = 0
530.  
531.    dim dn
532.    dn = dstObject.Get("distinguishedName")
533.    if Err.Number then DumpErrAndQuit
534.  
535.    Echo "  Getting destination group membership as SIDs"
536.  
537.    dim dstExistingMemberSIDs
538.    dstExistingMemberSIDs = clonepr.GetMembersSIDs(dn)
539.    if Err.Number then DumpErrAndQuit
540.  
541.    dim numExistingMembers
542.    numExistingMembers = 0
543.    dim x
544.    for each x in dstExistingMemberSIDs
545.      numExistingMembers = numExistingMembers + 1
546.    next
547.  
548.    for each member in srcObject.Members
549.       dim sidDeletedAccount
550.       if IsDeletedAccount(member.AdsPath, sidDeletedAccount) then
551.          Echo "  Considering deleted account: " & sidDeletedAccount
552.          sid.SetAs ADS_SID_SDDL, sidDeletedAccount
553.       else
554.          Echo "  Considering normal account: " & member.AdsPath
555.          sid.SetAs ADS_SID_WINNT_PATH, member.AdsPath & "," & member.Class
556.       end if
557.       if Err.Number then DumpErrAndQuit
558.  
559.       sidString = "<sid=" & sid.GetAs(ADS_SID_HEXSTRING) & ">"
560.       if Err.Number then DumpErrAndQuit
561.  
562.       if (0 = numExistingMembers) Or (not SidStringExists(sidString, dstExistingMemberSIDs)) then
563.          Echo "  Adding " & sidString
564.          redim preserve sidStringArray(i)
565.          sidStringArray(i) = sidString
566.          i = i + 1
567.       end if
568.    next
569.  
570.    ' use the array to update the destination group in one whack.
571.    if i then
572.       if 0 = numExistingMembers then 
573.         dstObject.PutEx ADS_PROPERTY_UPDATE, "member", sidStringArray
574.       else
575.         dstObject.PutEx ADS_PROPERTY_APPEND, "member", sidStringArray
576.       end if
577.       if Err.Number then DumpErrAndQuit
578.  
579.       dstObject.SetInfo
580.       if Err.Number then DumpErrAndQuit
581.    end if
582. end sub
583.  
584.  
585.  
586. function IsDeletedAccount(byref AdsPath, byref sidDeletedAccount)
587.   dim pos0, pos1
588.   pos0 = InStr(1, AdsPath, "://", 1)
589.   pos1 = InStr(pos0 + 3, AdsPath, "/", 1)
590.  
591.   if 0 = pos1 then
592.     IsDeletedAccount = True
593.     sidDeletedAccount = Mid(AdsPath, pos0 + 3)
594.   else
595.     IsDeletedAccount = False
596.   end if
597.  
598. end function
599.  
600.  
601.  
602. function SidStringExists(byref sidString, byref dstExistingMemberSIDs)
603.   dim sid
604.   sid = UCase(sidString)
605.  
606.   SidStringExists = False
607.  
608.   dim x
609.   For each x in dstExistingMemberSIDs
610.     if UCase(x) = sid then
611.        Echo "  Skipping existing sid " & x
612.        SidStringExists = True
613.        exit function
614.     end if
615.   next
616.  
617. end function
618.  
619.  
620.  
621. ' for each member of the source global group, look for that member's sid in
622. ' the sid histories of objects the destination forest (domain?).  If found,
623. ' add that located object as a member of the destination group.  Thus,
624. ' when a global group is cloned, the existing clones of all users that belong
625. ' to the original group will belong to the cloned group.
626.  
627. sub FixupGlobalGroupMembers(byref srcObject, byref dstObject, byval dstDC)
628.    on error resume next
629.    Echo "Fixing group membership for " & dstObject.Class & " " & dstObject.Name
630.  
631.    nameTranslate.Init ADS_NAME_INITTYPE_SERVER, dstDC
632.    if Err.Number then DumpErrAndQuit
633.  
634.    dim member
635.    dim sidString
636.    for each member in srcObject.Members
637.  
638.       if member.UserFlags and UF_NORMAL_ACCOUNT then
639.  
640.          ' extract the sid of the account
641.          sid.SetAs ADS_SID_WINNT_PATH, member.AdsPath & "," & member.Class
642.          if Err.Number then DumpErrAndQuit
643.  
644.          sidString = sid.GetAs(ADS_SID_SDDL)
645.          if Err.Number then DumpErrAndQuit
646.  
647.          ' find the DN of the member with that sid as its object sid or in
648.          ' its sid history (the sid history is where it will be, if the member
649.          ' is a clone).
650.          nameTranslate.Set ADS_NAME_TYPE_SID_OR_SID_HISTORY_NAME, sidString
651.          select case Err.Number
652.             case E_ADS_ERROR_DS_NAME_NOT_FOUND
653.                ' do nothing: skip this member; it hasn't been cloned yet
654.  
655.             case 0
656.                ' found!
657.                dim foundDN
658.                foundDN = ""
659.                foundDN = nameTranslate.Get(ADS_NAME_TYPE_1779)  ' aka full DN
660.  
661.                select case Err.Number
662.                   case E_ADS_ERROR_DS_NAME_NOT_FOUND
663.                      ' do nothing: skip this member; it hasn't been cloned yet
664.                   case 0
665.                      ' add the dn to the members property of the dst object
666.                      dim path
667.                      path = "LDAP://" & dstDC & "/" & foundDN
668.                      Dim tempObj 
669.                      set tempObj = GetObject(path)
670.                      if Err.Number then DumpErrAndQuit
671.                      if NOT IsUserMemberOfGroup( dstObject, tempObj ) then
672.                         Echo "  adding " & foundDN & " to group " & dstObject.Name
673.                         dstObject.Add path
674.                      end if
675.                      if Err.Number then DumpErrAndQuit
676.  
677.                   case else
678.                      DumpErrAndQuit
679.                end select
680.  
681.             case else
682.                DumpErrAndQuit
683.          end select
684.  
685.          ' need to clear this so the next iteration doesn't choke
686.          Err.Clear
687.  
688.       else 
689.  
690.          ' skip computer, temp and trust accounts
691.          Echo "  Skipping non-user account " & member.Name
692.       end if
693.    next
694. end sub
695.  
696.  
697.  
698. ' user - in, reference to user object, bound with LDAP provider.
699. ' 
700. ' groupDN - in, full DN of the group to which the user is to be added
701. ' 
702. ' dstDC - in, name of destination domain controller
703.  
704. sub AddUserToGroup(byref user, byval groupDN, byval dstDC)
705.    on error resume next
706.  
707.    dim path
708.    path = "LDAP://" & dstDC & "/" & groupDN
709.  
710.    dim group
711.    set group = GetObject(path)
712.    if Err.Number then DumpErrAndQuit
713.  
714.    if not IsUserMemberOfGroup(group,user) then 
715.       Echo "  Adding " & user.Name & " to group " & group.Name
716.       group.Add user.AdsPath
717.    else
718.       Echo "  " & user.Name & " is already member of " & group.Name
719.    end if
720.    if Err.Number then DumpErrAndQuit
721. end sub
722.  
723.  
724.  
725. function IsUserMemberOfGroup( byref group, byref user )
726.    if group.IsMember(user.AdsPath) then
727.         IsUserMemberOfGroup = True
728.         exit function
729.    end if 
730.  
731.    sid.SetAs ADS_SID_ACTIVE_DIRECTORY_PATH, group.AdsPath
732.    if Err.Number then DumpErrAndQuit
733.  
734.    dim sidString
735.     sidString = sid.GetAs(ADS_SID_SDDL)
736.     if Err.Number then DumpErrAndQuit
737.     if Len(sidString) > 9 then
738.         dim lastDash
739.         lastDash = InStrRev(sidString, "-", -1, 1)
740.         if lastDash then
741.            dim ridString
742.            ridString = Mid(sidString, lastDash + 1)
743.            if StrComp(ridString,user.PrimaryGroupId,1) = 0 then
744.                 IsUserMemberOfGroup = True
745.                 exit function
746.            end if
747.         end if 
748.     end if
749.     
750.     IsUserMemberOfGroup = False
751. end function
752.     
753.  
754.  
755. ' based on the class of the object, return one of CLASS_USER,
756. ' CLASS_LOCAL_GROUP, CLASS_GLOBAL_GROUP, CLASS_OTHER
757.  
758. function ObjectClass(object)
759.    dim cls
760.    cls = UCase(object.Class)
761.  
762.    if cls = "GROUP" then
763.       if (object.GroupType and ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP) then
764.          ' type is local group
765.          ObjectClass = CLASS_LOCAL_GROUP
766.          exit function
767.       else
768.          if ((object.GroupType and ADS_GROUP_TYPE_GLOBAL_GROUP) or (object.GroupType and ADS_GROUP_TYPE_UNIVERSAL_GROUP)) then
769.             ' type is global group
770.             ObjectClass = CLASS_GLOBAL_GROUP
771.             exit function
772.          end if
773.       end if
774.    else
775.       if cls = "USER" then
776.          ' type is user
777.          ObjectClass = CLASS_USER
778.          exit function
779.       end if
780.    end if
781.  
782.    ' type is not recognized
783.    ObjectClass = CLASS_OTHER
784.    exit function
785. end function
786.  
787.  
788.  
789. ' returns non-zero if the stringized SID refers to a well-known rid, zero
790. ' otherwise
791.  
792. function HasWellKnownRid(byval sidString)
793.    ' a SID refers to a well-known account if the first sub-authority (aka
794.    ' RID) is < 1000.  The first subauthority is the last portion of the
795.    ' stringized SID
796.  
797.    if Len(sidString) > 9 then
798.       dim lastDash
799.       lastDash = InStrRev(sidString, "-", -1, 1)
800.       if lastDash then
801.          dim ridString
802.          ridString = Mid(sidString, lastDash + 1)
803.          if CLng(ridString) < 1000 then
804.             HasWellKnownRid = True
805.             exit function
806.          end if
807.       end if
808.    end if
809.  
810.    HasWellKnownRid = False
811. end function
812.  
813.  
814.  
815. ' returns non-zero if the stringized SID refers to a builtin sid, zero
816. ' otherwise
817.  
818. function IsBuiltInSid(byval sidString)
819.    ' a SID  refers to builtin account or group if it has prefix S-1-5-32-
820.  
821.    if Len(sidString) > 9 then
822.          dim  prefixString
823.          prefixString = Mid(sidString, 1, 9)
824.          if StrComp( prefixString, "S-1-5-32-", 1 ) = 0  then
825.             IsBuiltInSid = true
826.             exit function
827.          end if
828.    end if
829.  
830.    IsBuiltInSid = False
831. end function
832.  
833.  
834.  
835. ' searches for and returns the value of a command line argument of the form
836. ' /argName:value from the supplied array.  erases the entry in the array so
837. ' that only untouched entries remain.
838.  
839. function GetArgValue(argName, args())
840.     dim a
841.     dim v
842.     dim argNameLength
843.     dim x
844.     dim argCount
845.     dim fullArgName
846.  
847.     fullArgName = "/" & argName & ":"
848.     argCount = Ubound(args)
849.  
850.     ' Get the length of the argname we are looking for
851.     argNameLength = Len(fullArgName)
852.     GetArgValue = "" ' default to nothing
853.     
854.     for x = 0 To argCount 
855.         if Len(args(x)) >= argNameLength then
856.  
857.             a = Mid(args(x), 1, argNameLength)
858.             if UCase(a) = UCase(fullArgName) then
859.  
860.                 ' erase it so we can look for unknown args later
861.                 v = args(x)
862.                 args(x) = ""
863.  
864.                 if Len(v) > argNameLength then
865.                     GetArgValue = Mid(v, argNameLength + 1)
866.                     exit function
867.                 else 
868.                     GetArgValue = ""
869.                     exit function
870.                 end if
871.             end if
872.         end if
873.     next 
874. end function
875.  
876.  
877.  
878. ' walks thru the array searching for any non-empty element.  if at least one
879. ' is found, then return non-zero.  Otherwise return 0.
880.  
881. function CheckForBadArgs(byref args())
882.    dim i
883.    for i = 0 to UBound(args) 
884.       if Len(args(i)) > 0 then
885.          CheckForBadArgs = 1
886.          exit function
887.       end if
888.    next
889.  
890.    CheckForBadArgs = 0
891. end function
892.  
893.  
894.  
895. sub DumpErrAndQuit
896.    dim errnum
897.    errnum = Err.Number
898.  
899.    Echo "Error 0x" & CStr(Hex(errnum)) & " occurred."
900.    if len(Err.Description) then
901.       Echo "Error Description: " & Err.Description
902.    end if
903.    if len(Err.Source) then 
904.       Echo "Error Source     : " & Err.Source
905.    end if
906.    Echo "ADsError Description: "
907.    Echo adsError.GetErrorMsg(errnum)
908.    wscript.quit(0)
909. end sub
910.  
911.  
912.  
913. sub Bail(byref message)
914.    Echo "Error: " & message
915.    wscript.quit(0)
916. end sub
917.  
918.  
919.  
920. sub Echo(byref message)
921.    wscript.echo message
922. end sub
923.  
924.  
925.  
926. ' clonepr.vbi end
927.  
928.  
929.  
930.  
931.  
932.  
933.  
934.  
935.  
936.  
937.  
938. ' clonedom.vbi start
939.  
940.  
941.  
942.  
943.  
944.  
945.  
946.  
947.  
948. const ARG_COUNT = 5
949.  
950. sub Main
951.    if wscript.arguments.count <> ARG_COUNT then
952.       PrintUsageAndQuit
953.    end if
954.  
955.    ' copy the command-line arguments for parsing
956.    dim args()
957.    Redim args(0)
958.    args(0) = ""
959.  
960.    dim i
961.    for i = 0 to wscript.arguments.count - 1
962.        Redim Preserve args(i)
963.        args(i) = wscript.arguments.item(i)
964.    next
965.  
966.    ' command line parameters
967.    dim srcDC       ' source domain controller                     
968.    dim srcDom      ' source domain                                
969.    dim dstDC       ' destination controller                       
970.    dim dstDom      ' destination domain                           
971.    dim dstOU       ' destination OU for clones
972.  
973.    ' parse the saved command-line arguments, extracting the values
974.    srcDC   = GetArgValue("srcdc",   args)
975.    srcDom  = GetArgValue("srcdom",  args)
976.    dstDC   = GetArgValue("dstdc",   args)
977.    dstDom  = GetArgValue("dstdom",  args)
978.    dstOU   = GetArgValue("dstou",   args)
979.  
980.    ' ensure the user did not pass any unrecognized command-line arguments
981.    if CheckForBadArgs(args) then
982.        Echo "Unknown command-line arguments specified"
983.        PrintUsageAndQuit
984.    end if
985.    
986.    ' establish authenticate connections to the source and destination domain
987.    ' controllers
988.    on error resume next
989.    clonepr.Connect srcDC, srcDom, dstDC, dstDom
990.    if Err.Number then DumpErrAndQuit
991.  
992.    Echo "Connected to source and destination domain controllers"
993.  
994.    dim srcDomain
995.    set srcDomain = GetObject("WinNT://" & srcDom & "/" & srcDC & ",Computer")
996.    if Err.Number then DumpErrAndQuit
997.  
998.    ' for every security principal in the source domain, call
999.    ' ShouldCloneObject. if that function returns True, then clone the object.
1000.    ' Otherwise ignore it.
1001.    dim cloneCounter
1002.    dim srcObject
1003.    dim srcObjectClass
1004.    cloneCounter = 0
1005.    for each srcObject in srcDomain
1006.       if ShouldCloneObject(srcObject) then
1007.          Echo "Bound to source " & srcObject.Class & " " & srcObject.Name
1008.  
1009.          srcObjectClass = ObjectClass(srcObject)
1010.  
1011.          do 
1012.             if srcObjectClass = CLASS_USER then
1013.                if srcObject.UserFlags and UF_TEMP_DUPLICATE_ACCOUNT then
1014.                   Echo "Skipping temporary local user account."
1015.                   exit do
1016.                end if
1017.             end if 
1018.  
1019.             dim srcSam        ' source principal SAM name
1020.             dim dstSam        ' destination principal SAM name
1021.             dim dstDN         ' destination principal full DN
1022.  
1023.             srcSam = srcObject.Name
1024.             dstSam = srcSam
1025.             dstDN = adsPathname.GetEscapedElement(0, "CN=" & dstSam) & "," & dstOU
1026.  
1027.             CloneSecurityPrincipal srcObject, srcSam, dstDom, dstDC, dstSam, dstDN
1028.             cloneCounter = cloneCounter + 1
1029.          loop while 0
1030.  
1031.          Echo ""
1032.  
1033.       end if
1034.    next
1035.  
1036.    Echo cloneCounter & " objects(s) cloned"
1037. end sub
1038.  
1039.  
1040.  
1041. sub PrintUsageAndQuit
1042.    Echo "Usage: cscript " & SCRIPT_FILENAME & " /srcdc:<dcname> /srcdom:<domain>"
1043.    Echo "/dstdc:<dcname> /dstdom:<domain> /dstou:<ouname>"
1044.    Echo ""
1045.    Echo "Parameters:"
1046.    Echo " /srcdc   - source domain controller NetBIOS computer name (without leading \\)"
1047.    Echo ""
1048.    Echo " /srcdom  - source domain NetBIOS name"
1049.    Echo ""
1050.    Echo " /dstdc   - destination domain controller NetBIOS computer name (without "
1051.    Echo "            leading \\)"
1052.    Echo "            This script must be run on the machine indicated here."
1053.    Echo ""
1054.    Echo " /dstdom  - destination domain DNS name"
1055.    Echo ""
1056.    Echo " /dstou   - destination OU for the clones"
1057.    Echo ""
1058.    Echo "Notes:"
1059.    Echo ""
1060.    Echo "If the destination principals do not exist, they will be created."
1061.    Echo "In that case, the OU named by dstou must exist."
1062.    Echo ""
1063.    Echo "Currently logged-on user must be a member of the Administrators"
1064.    Echo "group of both the source and destination domains."
1065.    Echo ""
1066.    Echo SCRIPT_DATE & " " & SCRIPT_TIME
1067.  
1068.    wscript.quit(0)
1069. end sub
1070.  
1071.  
1072.  
1073. ' clonedom.vbi end
1074.  
1075.  
1076.  
1077.  
1078. Main
1079. wscript.quit(0)
1080.  
1081.  
1082.  
1083. ' returns True if the object is a global group and not WellKnown Group
1084.  
1085. function ShouldCloneObject(byref srcObject)
1086.    on error resume next
1087.  
1088.    if ObjectClass(srcObject) = CLASS_GLOBAL_GROUP then
1089.  
1090.       sid.SetAs ADS_SID_WINNT_PATH, srcObject.AdsPath & "," & srcObject.Class
1091.       if Err.Number then DumpErrAndQuit
1092.  
1093.       dim sidString
1094.       sidString = sid.GetAs(ADS_SID_SDDL)
1095.       if Err.Number then DumpErrAndQuit
1096.  
1097. 'To Stop Cloning Well Known Sids Uncomment 4 lines below
1098.  
1099.      ' if HasWellKnownRid(sidString) then
1100.      '    ShouldCloneObject = False
1101.      '    exit function
1102.      ' end if
1103.  
1104.       if IsBuiltInSid( sidString ) then
1105.         Echo srcObject.Name & " is a builtin Account."
1106.         Echo "BuiltIn Users and Groups cannot be cloned"
1107.         ShouldCloneObject = False
1108.         exit function
1109.       end if
1110.     
1111.       ShouldCloneObject = True
1112.       exit function
1113.    end if
1114.  
1115.    ShouldCloneObject = False
1116. end function
1117.  
1118.  
1119.  
1120. ' clonegg.vbt end
1121.