home *** CD-ROM | disk | FTP | other *** search

---

/ ftp.ac-grenoble.fr / 2015.02.ftp.ac-grenoble.fr.tar / ftp.ac-grenoble.fr / assistance.logicielle / XP_ServicePack-3.iso / support / tools / support.cab / cloneggu.vbs

< prev

next >

Wrap

Text File  |  2001-08-17  |  33KB  |  1,128 lines

---

1.  
2. ' cloneggu.vbt start
3.  
4. ' CloneSecurityPrincipal VBScript
5. '
6. ' Clone all Global Groups and Users in a domain 
7. '
8. ' Copyright (C) 1999 Microsoft Corporation.
9.  
10.  
11.  
12.  
13.  
14.  
15.  
16.  
17.  
18.  
19.  
20.  
21. ' clonepr.vbi start
22.  
23.  
24.  
25.  
26.  
27.  
28.  
29.  
30.  
31. ' various manifest constants
32. const CLASS_USER         = 0
33. const CLASS_LOCAL_GROUP  = 1
34. const CLASS_GLOBAL_GROUP = 2
35. const CLASS_OTHER        = 3
36.  
37. ' the elements of this array are indexed by the above constants
38. dim classNames(2)
39. classNames(CLASS_USER)         = "User" 
40. classNames(CLASS_LOCAL_GROUP)  = "Group"
41. classNames(CLASS_GLOBAL_GROUP) = "Group"
42.  
43. ' from iads.h
44. const ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP     = &H4       
45. const ADS_GROUP_TYPE_GLOBAL_GROUP           = &H2
46. const ADS_GROUP_TYPE_UNIVERSAL_GROUP        = &H8
47. const ADS_GROUP_TYPE_SECURITY_ENABLED       = &H80000000
48. const ADS_NAME_INITTYPE_DOMAIN              = 1         
49. const ADS_NAME_INITTYPE_SERVER              = 2         
50. const ADS_NAME_TYPE_1779                    = 1         
51. const ADS_NAME_TYPE_NT4                     = 3         
52. const ADS_NAME_TYPE_SID_OR_SID_HISTORY_NAME = 12        
53. const ADS_PROPERTY_APPEND                   = 3         
54. const ADS_PROPERTY_DELETE                   = 4         
55. const ADS_PROPERTY_UPDATE                   = 2         
56.  
57. ' from lmaccess.h
58. const UF_TEMP_DUPLICATE_ACCOUNT = &H0100
59. const UF_NORMAL_ACCOUNT         = &H0200
60.  
61. ' from andyhar's adsi reskit
62. const ADS_SID_RAW                   = 0
63. const ADS_SID_HEXSTRING             = 1
64. const ADS_SID_SDDL                  = 4
65. const ADS_SID_WINNT_PATH            = 5
66. const ADS_SID_ACTIVE_DIRECTORY_PATH = 6
67.  
68. const E_ADS_UNKNOWN_OBJECT          = &H80005004
69. const E_ADS_ERROR_DS_NO_SUCH_OBJECT = &H80072030
70. const E_ADS_ERROR_DS_NAME_NOT_FOUND = &H80072116
71.  
72.  
73.  
74. ' create the COM object implementing ICloneSecurityPrincipal
75. dim clonepr
76. set clonepr = CreateObject("DSUtils.ClonePrincipal")
77. if Err.Number then DumpErrAndQuit
78.  
79. ' create the COM object implementing IADsNameTranslate
80. dim nameTranslate
81. set nameTranslate = CreateObject("NameTranslate")
82. if Err.Number then DumpErrAndQuit
83.  
84. ' create the COM object implementing IADsPathname
85. dim adsPathname
86. set adsPathname = CreateObject("Pathname")
87. if Err.Number then DumpErrAndQuit
88.  
89. ' create the COM object implementing IADsError
90. dim adsError
91. set adsError = CreateObject("DSUtils.ADsError")
92. if Err.Number then DumpErrAndQuit
93.  
94. ' create the COM object implementing IADsSID
95. dim sid
96. set sid = CreateObject("DSUtils.ADsSID")
97. if Err.Number then DumpErrAndQuit
98.  
99.  
100.  
101. '
102. ' functions and subroutines follow
103. '
104.  
105.  
106. sub CloneSecurityPrincipal(byref srcObject, byval srcSam, byval dstDom, byval dstDC, byval dstSam, byval dstDN)
107.    on error resume next
108.  
109.    ' verify that the source object is of a type that we support
110.    dim srcObjectClass
111.    srcObjectClass = ObjectClass(srcObject)
112.  
113.     select case srcObjectClass
114.         case CLASS_USER
115.             if srcObject.UserFlags and UF_TEMP_DUPLICATE_ACCOUNT then
116.                 Echo "Source object is a temporary local user account, which is not supported."
117.              wscript.quit(0)            
118.             end if 
119.       case CLASS_LOCAL_GROUP
120.       case CLASS_GLOBAL_GROUP
121.          ' do nothing
122.       case else
123.          ' not a supported object class
124.          Echo "Source object is of type " & srcObject.Class & ", which is not supported by this tool."
125.          wscript.quit(0)
126.    end select
127.  
128.    ' bind to the destination object
129.  
130.    ' we attempt to locate the destination object by it's sam account name, in
131.    ' order to determine if that name is already in use by a security principal
132.    ' in the destination domain.
133.  
134.    dim dstObjectSamPath
135.    dstObjectSamPath = "WinNT://" & dstDom & "/" & dstDC & "/" & dstSam
136.  
137.    dim dstObjectDNPath
138.    dstObjectDNPath = "LDAP://" & dstDC & "/" & dstDN
139.  
140.    dim dstObjectClass
141.    dim dstObject
142.  
143.    Err.Clear
144.    set dstObject = GetObject(dstObjectSamPath)
145.    dim errnum1
146.    errnum1 = Err.Number
147.    select case errnum1
148.       case E_ADS_UNKNOWN_OBJECT
149.          ' destination is not found
150.  
151.          Echo "Destination object " & dstSam & " not found (by SAM name) path used: " & dstObjectSamPath
152.  
153.          ' bind to the DN of the object, then
154.          Err.Clear
155.          set dstObject = GetObject(dstObjectDNPath)
156.          dim errnum2
157.          errnum2 = Err.Number
158.          select case errnum2
159.             case E_ADS_ERROR_DS_NO_SUCH_OBJECT
160.                Echo "Destination object " & dstDN & " not found (by DN) path used: " & dstObjectDNPath
161.  
162.                ' create the dstDN object of the same type as the source
163.                Err.Clear
164.                set dstObject = CreateDestinationDN(dstSam, dstDN, dstDC, srcObjectClass)
165.  
166.             case 0
167.                ' dstDN found
168.  
169.                Echo "Destination DN found"
170.  
171.                dstObjectClass = ObjectClass(dstObject)
172.  
173.                if dstObjectClass <> srcObjectClass then
174.                   Bail "Source and destination objects differ in class type."
175.                end if
176.  
177.                if UCase(dstObject.SamAccountName) <> UCase(dstSam) then
178.                   ' sam name of the object is not the same as the sam name
179.                   ' specified on the command line
180.                   Bail "SAM account name of " & dstDN & " is " & dstObject.SamAccountName & " not " & dstSam
181.                end if
182.  
183.             case else
184.                Echo "Error attempting to bind to " & dstObjectDNPath
185.                DumpErrAndQuit
186.  
187.          end select
188.  
189.       case 0
190.          ' dstSam found.  Find the DN of the object it refers to
191.  
192.          Echo "Destination SAM name found"
193.  
194.          nameTranslate.Init ADS_NAME_INITTYPE_SERVER, dstDC
195.          if Err.Number then DumpErrAndQuit
196.  
197.          nameTranslate.Set ADS_NAME_TYPE_NT4, dstDom & "\" & dstSam
198.          if Err.Number then DumpErrAndQuit
199.  
200.          dim foundDN
201.          foundDN = nameTranslate.Get(ADS_NAME_TYPE_1779)  ' aka full DN
202.          if Err.Number then DumpErrAndQuit
203.  
204.          Echo dstSam & " refers to " & foundDN
205.  
206.          if UCase(dstDN) <> UCase(foundDN) then
207.             ' sam name is in use by another object than the one the user
208.             ' indicated.
209.             Bail "SAM account name " & dstSam & " is in use by object " & foundDN & ", not " & dstDN
210.          end if
211.  
212.          ' at this point, we've verified that the sam name specified by the
213.          ' user matches the DN.  Now verify that the DN refers to an object
214.          ' of the same type as the source  
215.  
216.          set dstObject = GetObject("LDAP://" & dstDC & "/" & foundDN)
217.          if Err.Number then DumpErrAndQuit
218.  
219.          dstObjectClass = ObjectClass(dstObject)
220.          if dstObjectClass <> srcObjectClass then
221.             Bail "Source and destination objects differ in class type."
222.          end if
223.  
224.       case else
225.          Echo "Error attempting to bind to destination object " & dstObjectSamPath
226.          DumpErrAndQuit
227.    end select
228.  
229.    ' at this point, dstObject is bound to the object onto which we
230.    ' should clone the source object 
231.  
232.    ' copy the source object's properties
233.    Echo "Setting properties for target " & dstObject.Class & " " & dstObject.Name
234.    select case srcObjectClass
235.       case CLASS_USER
236.  
237.          ' copy the properties of the source user to the destination user
238.          clonepr.CopyDownlevelUserProperties srcSam, dstSam, 0
239.          if Err.Number then DumpErrAndQuit
240.  
241.          Echo "Downlevel properties set."
242.  
243.          ' fixup the destination user's group memberships
244.  
245.          FixupUserGroupMemberships srcObject, dstObject, dstDC
246.          if Err.Number then DumpErrAndQuit
247.  
248.          Echo "User's Group memberships restored."
249.  
250.          ' commit the changes
251.          dstObject.SetInfo
252.          if Err.Number then DumpErrAndQuit
253.  
254.          Echo "User changes commited."
255.  
256.       case CLASS_LOCAL_GROUP
257.          ' copy the source group's description
258.          if srcObject.Description <> "" then 
259.             dstObject.Put "Description", srcObject.Description
260.             dstObject.SetInfo
261.             if Err.Number then DumpErrAndQuit
262.          end if
263.  
264.          Echo "Local group description set."
265.  
266.          ' copy the source local group's membership
267.          CopyLocalGroupMembership srcObject, dstObject
268.          if Err.Number then DumpErrAndQuit
269.  
270.          Echo "Local group membership copied."
271.  
272.          ' commit the changes
273.          dstObject.SetInfo
274.          if Err.Number then DumpErrAndQuit
275.  
276.          Echo "Local group changes commited."
277.  
278.       case CLASS_GLOBAL_GROUP
279.          ' copy the source group's description
280.          if srcObject.Description <> "" then 
281.             dstObject.Put "Description", srcObject.Description
282.             dstObject.SetInfo
283.             if Err.Number then DumpErrAndQuit
284.          end if
285.  
286.          Echo "Global group description set."
287.  
288.          ' fixup the destination group's members
289.          FixupGlobalGroupMembers srcObject, dstObject, dstDC
290.          if Err.Number then DumpErrAndQuit
291.  
292.          Echo "Global group memberships restored."
293.  
294.          ' commit the change
295.          dstObject.SetInfo
296.          if Err.Number then DumpErrAndQuit
297.  
298.          Echo "Global group changes commited."
299.  
300.       case else
301.          ' why are we here?  what is my purpose in life?
302.          wscript "illegal code path"
303.          wscript.quit(0)
304.  
305.    end select
306.  
307.    ' Add the SID of the source principal to the sid history of the destination
308.    ' principal.
309.    Echo "Adding SID for source " & srcObject.Class & " " & srcObject.Name & " to SID history of target " & dstObject.Class & " " & dstObject.Name
310.    clonepr.AddSidHistory srcSam, dstSam, 0
311.    if Err.Number then DumpErrAndQuit
312.  
313.    Echo "SID history set successfully."
314.  
315.    ' all done
316.    Echo srcObject.Name & " cloned successfully."
317. end sub
318.  
319.  
320.  
321. ' Create a DS security principal object, and return a bound reference to it.
322. ' 
323. ' samName - in, sam account name of object-to-be
324. '
325. ' DN - in, full DN of the object to be created
326. '
327. ' DC - in, name of domain controller on which the object is to be created
328. '
329. ' objectClass - in, CLASS_ constant for the type of object to create
330.  
331. function CreateDestinationDN(byval samName, byval DN, byval DC, byval objectClass)
332.    on error resume next
333.    Echo "Creating " & DN
334.  
335.    ' determine the name of the container to place the new object by removing
336.    ' the leaf-most portion of the DN
337.    dim p
338.    p = InStr(1, DN, ",", 1)
339.  
340.    dim dstCN
341.    dstCN = Mid(DN, 1, p - 1)  ' - 1 to omit the comma
342.  
343.    dim ouDN, ouDNPath
344.    ouDN = Mid(DN, p + 1)   ' + 1 to skip the comma
345.    ouDNPath = "LDAP://" & DC & "/" & ouDN
346.       
347.    dim container, errnum3
348.    set container = GetObject(ouDNPath)
349.    select case Err.Number
350.       case E_ADS_ERROR_DS_NO_SUCH_OBJECT
351.          Bail "Container " & ouDN & " not found"
352.       case 0
353.          ' do nothing
354.       case else
355.          Echo "Error attempting to bind to " & ouDN
356.          DumpErrAndQuit
357.    end select
358.  
359.    dim dstObject
360.    set dstObject = container.Create(classNames(objectClass), dstCN)
361.    if Err.Number then
362.       Echo "Error attempting to create " & DN
363.       DumpErrAndQuit
364.    end if
365.  
366.    dstObject.Put "samAccountName", samName
367.    if Err.Number then
368.       Echo "Error attempting to set samAccountName for " & DN
369.       DumpErrAndQuit
370.    end if
371.  
372.    select case objectClass
373.       case CLASS_USER
374.          ' nothing more to add
375.  
376.       case CLASS_LOCAL_GROUP
377.          ' set group type to local
378.          dstObject.Put "groupType", ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP + ADS_GROUP_TYPE_SECURITY_ENABLED
379.          if Err.Number then
380.             Echo "Error attempting to set local group type for " & DN
381.             DumpErrAndQuit
382.          end if
383.  
384.       case CLASS_GLOBAL_GROUP
385.          ' set group type to global
386.          dstObject.Put "groupType", ADS_GROUP_TYPE_GLOBAL_GROUP + ADS_GROUP_TYPE_SECURITY_ENABLED
387.          if Err.Number then
388.             Echo "Error attempting to set global group type for " & DN
389.             DumpErrAndQuit
390.          end if
391.  
392.    end select
393.  
394.    dstObject.SetInfo
395.    if Err.Number then
396.       Echo "Error attempting to commit create of " & DN
397.       DumpErrAndQuit
398.    end if
399.  
400.    Echo "Created " & DN
401.  
402.    set CreateDestinationDN = dstObject
403. end function
404.  
405.  
406.  
407. ' for each group to which the source user object belongs, look for that
408. ' group's sid in the sid histories of objects in the destination forest
409. ' (domain?).  If found, add the destination user as a member of the located
410. ' group.  Thus, when a user is cloned, the clone becomes a member of all the
411. ' existing cloned groups corresponding to the original groups the
412. ' orignal user belonged to.
413.  
414. sub FixupUserGroupMemberships(byref srcObject, byref dstObject, byval dstDC)
415.    on error resume next
416.    Echo "Fixing group memberships for " & dstObject.Class & " " & dstObject.Name
417.  
418.    nameTranslate.Init ADS_NAME_INITTYPE_SERVER, dstDC
419.    if Err.Number then DumpErrAndQuit
420.  
421.    dim group
422.    dim sidString
423.    for each group in srcObject.Groups
424.       if (ObjectClass(group) = CLASS_GLOBAL_GROUP) then
425.          Echo "  Found global group " & group.ADsPath
426.  
427.          sid.SetAs ADS_SID_WINNT_PATH, group.AdsPath & "," & group.Class
428.          if Err.Number then DumpErrAndQuit
429.  
430.          sidString = sid.GetAs(ADS_SID_SDDL)
431.          if Err.Number then DumpErrAndQuit
432.  
433.          if IsBuiltInSid(sidString) then
434.             Echo "  " & group.ADsPath & " is a built-in group"
435.  
436.             ' built-ins are present in every domain with the same sid.  So we
437.             ' can't search for the corresponding destination object by sid, or
438.             ' we may be multiple matches (if there is more than 1 domain in the
439.             ' destination forest, and the destination DC also happens to be
440.             ' a global catalog).  So, here we compose a sid-style LDAP path
441.             ' for the built-in destination object.
442.  
443.             sidString = "<sid=" & sid.GetAs(ADS_SID_HEXSTRING) & ">"
444.             if Err.Number then DumpErrAndQuit
445.  
446.             dim mypath
447.             mypath = "LDAP://" & dstDC & "/" & sidString
448.  
449.             dim mygroup
450.             set mygroup = GetObject(mypath)
451.             if Err.Number then DumpErrAndQuit
452.  
453.             if not IsUserMemberOfGroup(mygroup, dstObject) then
454.                Echo "  Adding " & dstObject.Name & " to group " & mygroup.Name
455.                mygroup.Add dstObject.AdsPath
456.             else
457.                Echo "  " & dstObject.Name & " is already member of " & mygroup.Name
458.             end if
459.             if Err.Number then DumpErrAndQuit 
460.          else
461.  
462.             ' find the DN of the object with that sid as its object sid or in
463.             ' its sid history (the sid history is where it will be, if the object
464.             ' is a clone).
465.  
466.             nameTranslate.Set ADS_NAME_TYPE_SID_OR_SID_HISTORY_NAME, sidString
467.             select case Err.Number
468.                case E_ADS_ERROR_DS_NAME_NOT_FOUND
469.                   ' do nothing: skip this member; it hasn't been cloned yet
470.  
471.                   Echo "  Skipping " & group.ADsPath & " -- not cloned yet"
472.  
473.                case 0
474.                   ' found!
475.                   dim foundDN
476.                   foundDN = ""
477.                   foundDN = nameTranslate.Get(ADS_NAME_TYPE_1779)  ' aka full DN
478.  
479.                   select case Err.Number
480.                      case E_ADS_ERROR_DS_NAME_NOT_FOUND
481.                         ' do nothing: skip this member; it hasn't been cloned yet
482.                      case 0
483.                         AddUserToGroup dstObject, foundDN, dstDC
484.                      case else
485.                         DumpErrAndQuit
486.                   end select
487.  
488.                case else
489.                   DumpErrAndQuit
490.  
491.             end select
492.          end if
493.       else
494.          Echo "  Skipping group " & group.AdsPath & " -- not global group"
495.       end if
496.  
497.       ' need to clear this so next iteration won't choke.
498.       Err.Clear
499.    next
500. end sub
501.  
502.  
503.  
504. ' for each member of the source local group, obtain the member's SID and add
505. ' that SID as a member of the destination local group.  If that SID does not
506. ' refer to a security principal in the destination domain, then the SAM will
507. ' create a Foreign Principal Object (FPO) to represent that SID.  then SAM
508. ' will replace the reference to the SID in the group membership with the DN
509. ' of the FPO.  An FPO acts like a proxy for the SID.
510.  
511. sub CopyLocalGroupMembership(byref srcObject, byref dstObject)
512.    on error resume next
513.  
514.    Echo "Copying local group membership"
515.  
516.    ' get the sids in string form of each of the members of the source
517.    ' group.  collect them in an array
518.    dim member
519.    dim sidString
520.    dim sidStringArray()
521.    dim i
522.    i = 0
523.  
524.    dim dn
525.    dn = dstObject.Get("distinguishedName")
526.    if Err.Number then DumpErrAndQuit
527.  
528.    Echo "  Getting destination group membership as SIDs"
529.  
530.    dim dstExistingMemberSIDs
531.    dstExistingMemberSIDs = clonepr.GetMembersSIDs(dn)
532.    if Err.Number then DumpErrAndQuit
533.  
534.    dim numExistingMembers
535.    numExistingMembers = 0
536.    dim x
537.    for each x in dstExistingMemberSIDs
538.      numExistingMembers = numExistingMembers + 1
539.    next
540.  
541.    for each member in srcObject.Members
542.       dim sidDeletedAccount
543.       if IsDeletedAccount(member.AdsPath, sidDeletedAccount) then
544.          Echo "  Considering deleted account: " & sidDeletedAccount
545.          sid.SetAs ADS_SID_SDDL, sidDeletedAccount
546.       else
547.          Echo "  Considering normal account: " & member.AdsPath
548.          sid.SetAs ADS_SID_WINNT_PATH, member.AdsPath & "," & member.Class
549.       end if
550.       if Err.Number then DumpErrAndQuit
551.  
552.       sidString = "<sid=" & sid.GetAs(ADS_SID_HEXSTRING) & ">"
553.       if Err.Number then DumpErrAndQuit
554.  
555.       if (0 = numExistingMembers) Or (not SidStringExists(sidString, dstExistingMemberSIDs)) then
556.          Echo "  Adding " & sidString
557.          redim preserve sidStringArray(i)
558.          sidStringArray(i) = sidString
559.          i = i + 1
560.       end if
561.    next
562.  
563.    ' use the array to update the destination group in one whack.
564.    if i then
565.       if 0 = numExistingMembers then 
566.         dstObject.PutEx ADS_PROPERTY_UPDATE, "member", sidStringArray
567.       else
568.         dstObject.PutEx ADS_PROPERTY_APPEND, "member", sidStringArray
569.       end if
570.       if Err.Number then DumpErrAndQuit
571.  
572.       dstObject.SetInfo
573.       if Err.Number then DumpErrAndQuit
574.    end if
575. end sub
576.  
577.  
578.  
579. function IsDeletedAccount(byref AdsPath, byref sidDeletedAccount)
580.   dim pos0, pos1
581.   pos0 = InStr(1, AdsPath, "://", 1)
582.   pos1 = InStr(pos0 + 3, AdsPath, "/", 1)
583.  
584.   if 0 = pos1 then
585.     IsDeletedAccount = True
586.     sidDeletedAccount = Mid(AdsPath, pos0 + 3)
587.   else
588.     IsDeletedAccount = False
589.   end if
590.  
591. end function
592.  
593.  
594.  
595. function SidStringExists(byref sidString, byref dstExistingMemberSIDs)
596.   dim sid
597.   sid = UCase(sidString)
598.  
599.   SidStringExists = False
600.  
601.   dim x
602.   For each x in dstExistingMemberSIDs
603.     if UCase(x) = sid then
604.        Echo "  Skipping existing sid " & x
605.        SidStringExists = True
606.        exit function
607.     end if
608.   next
609.  
610. end function
611.  
612.  
613.  
614. ' for each member of the source global group, look for that member's sid in
615. ' the sid histories of objects the destination forest (domain?).  If found,
616. ' add that located object as a member of the destination group.  Thus,
617. ' when a global group is cloned, the existing clones of all users that belong
618. ' to the original group will belong to the cloned group.
619.  
620. sub FixupGlobalGroupMembers(byref srcObject, byref dstObject, byval dstDC)
621.    on error resume next
622.    Echo "Fixing group membership for " & dstObject.Class & " " & dstObject.Name
623.  
624.    nameTranslate.Init ADS_NAME_INITTYPE_SERVER, dstDC
625.    if Err.Number then DumpErrAndQuit
626.  
627.    dim member
628.    dim sidString
629.    for each member in srcObject.Members
630.  
631.       if member.UserFlags and UF_NORMAL_ACCOUNT then
632.  
633.          ' extract the sid of the account
634.          sid.SetAs ADS_SID_WINNT_PATH, member.AdsPath & "," & member.Class
635.          if Err.Number then DumpErrAndQuit
636.  
637.          sidString = sid.GetAs(ADS_SID_SDDL)
638.          if Err.Number then DumpErrAndQuit
639.  
640.          ' find the DN of the member with that sid as its object sid or in
641.          ' its sid history (the sid history is where it will be, if the member
642.          ' is a clone).
643.          nameTranslate.Set ADS_NAME_TYPE_SID_OR_SID_HISTORY_NAME, sidString
644.          select case Err.Number
645.             case E_ADS_ERROR_DS_NAME_NOT_FOUND
646.                ' do nothing: skip this member; it hasn't been cloned yet
647.  
648.             case 0
649.                ' found!
650.                dim foundDN
651.                foundDN = ""
652.                foundDN = nameTranslate.Get(ADS_NAME_TYPE_1779)  ' aka full DN
653.  
654.                select case Err.Number
655.                   case E_ADS_ERROR_DS_NAME_NOT_FOUND
656.                      ' do nothing: skip this member; it hasn't been cloned yet
657.                   case 0
658.                      ' add the dn to the members property of the dst object
659.                      dim path
660.                      path = "LDAP://" & dstDC & "/" & foundDN
661.                      Dim tempObj 
662.                      set tempObj = GetObject(path)
663.                      if Err.Number then DumpErrAndQuit
664.                      if NOT IsUserMemberOfGroup( dstObject, tempObj ) then
665.                         Echo "  adding " & foundDN & " to group " & dstObject.Name
666.                         dstObject.Add path
667.                      end if
668.                      if Err.Number then DumpErrAndQuit
669.  
670.                   case else
671.                      DumpErrAndQuit
672.                end select
673.  
674.             case else
675.                DumpErrAndQuit
676.          end select
677.  
678.          ' need to clear this so the next iteration doesn't choke
679.          Err.Clear
680.  
681.       else 
682.  
683.          ' skip computer, temp and trust accounts
684.          Echo "  Skipping non-user account " & member.Name
685.       end if
686.    next
687. end sub
688.  
689.  
690.  
691. ' user - in, reference to user object, bound with LDAP provider.
692. ' 
693. ' groupDN - in, full DN of the group to which the user is to be added
694. ' 
695. ' dstDC - in, name of destination domain controller
696.  
697. sub AddUserToGroup(byref user, byval groupDN, byval dstDC)
698.    on error resume next
699.  
700.    dim path
701.    path = "LDAP://" & dstDC & "/" & groupDN
702.  
703.    dim group
704.    set group = GetObject(path)
705.    if Err.Number then DumpErrAndQuit
706.  
707.    if not IsUserMemberOfGroup(group,user) then 
708.       Echo "  Adding " & user.Name & " to group " & group.Name
709.       group.Add user.AdsPath
710.    else
711.       Echo "  " & user.Name & " is already member of " & group.Name
712.    end if
713.    if Err.Number then DumpErrAndQuit
714. end sub
715.  
716.  
717.  
718. function IsUserMemberOfGroup( byref group, byref user )
719.    if group.IsMember(user.AdsPath) then
720.         IsUserMemberOfGroup = True
721.         exit function
722.    end if 
723.  
724.    sid.SetAs ADS_SID_ACTIVE_DIRECTORY_PATH, group.AdsPath
725.    if Err.Number then DumpErrAndQuit
726.  
727.    dim sidString
728.     sidString = sid.GetAs(ADS_SID_SDDL)
729.     if Err.Number then DumpErrAndQuit
730.     if Len(sidString) > 9 then
731.         dim lastDash
732.         lastDash = InStrRev(sidString, "-", -1, 1)
733.         if lastDash then
734.            dim ridString
735.            ridString = Mid(sidString, lastDash + 1)
736.            if StrComp(ridString,user.PrimaryGroupId,1) = 0 then
737.                 IsUserMemberOfGroup = True
738.                 exit function
739.            end if
740.         end if 
741.     end if
742.     
743.     IsUserMemberOfGroup = False
744. end function
745.     
746.  
747.  
748. ' based on the class of the object, return one of CLASS_USER,
749. ' CLASS_LOCAL_GROUP, CLASS_GLOBAL_GROUP, CLASS_OTHER
750.  
751. function ObjectClass(object)
752.    dim cls
753.    cls = UCase(object.Class)
754.  
755.    if cls = "GROUP" then
756.       if (object.GroupType and ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP) then
757.          ' type is local group
758.          ObjectClass = CLASS_LOCAL_GROUP
759.          exit function
760.       else
761.          if ((object.GroupType and ADS_GROUP_TYPE_GLOBAL_GROUP) or (object.GroupType and ADS_GROUP_TYPE_UNIVERSAL_GROUP)) then
762.             ' type is global group
763.             ObjectClass = CLASS_GLOBAL_GROUP
764.             exit function
765.          end if
766.       end if
767.    else
768.       if cls = "USER" then
769.          ' type is user
770.          ObjectClass = CLASS_USER
771.          exit function
772.       end if
773.    end if
774.  
775.    ' type is not recognized
776.    ObjectClass = CLASS_OTHER
777.    exit function
778. end function
779.  
780.  
781.  
782. ' returns non-zero if the stringized SID refers to a well-known rid, zero
783. ' otherwise
784.  
785. function HasWellKnownRid(byval sidString)
786.    ' a SID refers to a well-known account if the first sub-authority (aka
787.    ' RID) is < 1000.  The first subauthority is the last portion of the
788.    ' stringized SID
789.  
790.    if Len(sidString) > 9 then
791.       dim lastDash
792.       lastDash = InStrRev(sidString, "-", -1, 1)
793.       if lastDash then
794.          dim ridString
795.          ridString = Mid(sidString, lastDash + 1)
796.          if CLng(ridString) < 1000 then
797.             HasWellKnownRid = True
798.             exit function
799.          end if
800.       end if
801.    end if
802.  
803.    HasWellKnownRid = False
804. end function
805.  
806.  
807.  
808. ' returns non-zero if the stringized SID refers to a builtin sid, zero
809. ' otherwise
810.  
811. function IsBuiltInSid(byval sidString)
812.    ' a SID  refers to builtin account or group if it has prefix S-1-5-32-
813.  
814.    if Len(sidString) > 9 then
815.          dim  prefixString
816.          prefixString = Mid(sidString, 1, 9)
817.          if StrComp( prefixString, "S-1-5-32-", 1 ) = 0  then
818.             IsBuiltInSid = true
819.             exit function
820.          end if
821.    end if
822.  
823.    IsBuiltInSid = False
824. end function
825.  
826.  
827.  
828. ' searches for and returns the value of a command line argument of the form
829. ' /argName:value from the supplied array.  erases the entry in the array so
830. ' that only untouched entries remain.
831.  
832. function GetArgValue(argName, args())
833.     dim a
834.     dim v
835.     dim argNameLength
836.     dim x
837.     dim argCount
838.     dim fullArgName
839.  
840.     fullArgName = "/" & argName & ":"
841.     argCount = Ubound(args)
842.  
843.     ' Get the length of the argname we are looking for
844.     argNameLength = Len(fullArgName)
845.     GetArgValue = "" ' default to nothing
846.     
847.     for x = 0 To argCount 
848.         if Len(args(x)) >= argNameLength then
849.  
850.             a = Mid(args(x), 1, argNameLength)
851.             if UCase(a) = UCase(fullArgName) then
852.  
853.                 ' erase it so we can look for unknown args later
854.                 v = args(x)
855.                 args(x) = ""
856.  
857.                 if Len(v) > argNameLength then
858.                     GetArgValue = Mid(v, argNameLength + 1)
859.                     exit function
860.                 else 
861.                     GetArgValue = ""
862.                     exit function
863.                 end if
864.             end if
865.         end if
866.     next 
867. end function
868.  
869.  
870.  
871. ' walks thru the array searching for any non-empty element.  if at least one
872. ' is found, then return non-zero.  Otherwise return 0.
873.  
874. function CheckForBadArgs(byref args())
875.    dim i
876.    for i = 0 to UBound(args) 
877.       if Len(args(i)) > 0 then
878.          CheckForBadArgs = 1
879.          exit function
880.       end if
881.    next
882.  
883.    CheckForBadArgs = 0
884. end function
885.  
886.  
887.  
888. sub DumpErrAndQuit
889.    dim errnum
890.    errnum = Err.Number
891.  
892.    Echo "Error 0x" & CStr(Hex(errnum)) & " occurred."
893.    if len(Err.Description) then
894.       Echo "Error Description: " & Err.Description
895.    end if
896.    if len(Err.Source) then 
897.       Echo "Error Source     : " & Err.Source
898.    end if
899.    Echo "ADsError Description: "
900.    Echo adsError.GetErrorMsg(errnum)
901.    wscript.quit(0)
902. end sub
903.  
904.  
905.  
906. sub Bail(byref message)
907.    Echo "Error: " & message
908.    wscript.quit(0)
909. end sub
910.  
911.  
912.  
913. sub Echo(byref message)
914.    wscript.echo message
915. end sub
916.  
917.  
918.  
919. ' clonepr.vbi end
920.  
921.  
922.  
923.  
924.  
925.  
926.  
927.  
928. const SCRIPT_FILENAME    = "cloneggu.vbs"
929. const SCRIPT_SOURCE_NAME = "cloneggu.vbt"       
930. const SCRIPT_DATE        = "Aug 17 2001"      
931. const SCRIPT_TIME        = "12:42:14"      
932.  
933.  
934.  
935.  
936.  
937.  
938.  
939.  
940.  
941. ' clonedom.vbi start
942.  
943.  
944.  
945.  
946.  
947.  
948.  
949.  
950.  
951. const ARG_COUNT = 5
952.  
953. sub Main
954.    if wscript.arguments.count <> ARG_COUNT then
955.       PrintUsageAndQuit
956.    end if
957.  
958.    ' copy the command-line arguments for parsing
959.    dim args()
960.    Redim args(0)
961.    args(0) = ""
962.  
963.    dim i
964.    for i = 0 to wscript.arguments.count - 1
965.        Redim Preserve args(i)
966.        args(i) = wscript.arguments.item(i)
967.    next
968.  
969.    ' command line parameters
970.    dim srcDC       ' source domain controller                     
971.    dim srcDom      ' source domain                                
972.    dim dstDC       ' destination controller                       
973.    dim dstDom      ' destination domain                           
974.    dim dstOU       ' destination OU for clones
975.  
976.    ' parse the saved command-line arguments, extracting the values
977.    srcDC   = GetArgValue("srcdc",   args)
978.    srcDom  = GetArgValue("srcdom",  args)
979.    dstDC   = GetArgValue("dstdc",   args)
980.    dstDom  = GetArgValue("dstdom",  args)
981.    dstOU   = GetArgValue("dstou",   args)
982.  
983.    ' ensure the user did not pass any unrecognized command-line arguments
984.    if CheckForBadArgs(args) then
985.        Echo "Unknown command-line arguments specified"
986.        PrintUsageAndQuit
987.    end if
988.    
989.    ' establish authenticate connections to the source and destination domain
990.    ' controllers
991.    on error resume next
992.    clonepr.Connect srcDC, srcDom, dstDC, dstDom
993.    if Err.Number then DumpErrAndQuit
994.  
995.    Echo "Connected to source and destination domain controllers"
996.  
997.    dim srcDomain
998.    set srcDomain = GetObject("WinNT://" & srcDom & "/" & srcDC & ",Computer")
999.    if Err.Number then DumpErrAndQuit
1000.  
1001.    ' for every security principal in the source domain, call
1002.    ' ShouldCloneObject. if that function returns True, then clone the object.
1003.    ' Otherwise ignore it.
1004.    dim cloneCounter
1005.    dim srcObject
1006.    dim srcObjectClass
1007.    cloneCounter = 0
1008.    for each srcObject in srcDomain
1009.       if ShouldCloneObject(srcObject) then
1010.          Echo "Bound to source " & srcObject.Class & " " & srcObject.Name
1011.  
1012.          srcObjectClass = ObjectClass(srcObject)
1013.  
1014.          do 
1015.             if srcObjectClass = CLASS_USER then
1016.                if srcObject.UserFlags and UF_TEMP_DUPLICATE_ACCOUNT then
1017.                   Echo "Skipping temporary local user account."
1018.                   exit do
1019.                end if
1020.             end if 
1021.  
1022.             dim srcSam        ' source principal SAM name
1023.             dim dstSam        ' destination principal SAM name
1024.             dim dstDN         ' destination principal full DN
1025.  
1026.             srcSam = srcObject.Name
1027.             dstSam = srcSam
1028.             dstDN = adsPathname.GetEscapedElement(0, "CN=" & dstSam) & "," & dstOU
1029.  
1030.             CloneSecurityPrincipal srcObject, srcSam, dstDom, dstDC, dstSam, dstDN
1031.             cloneCounter = cloneCounter + 1
1032.          loop while 0
1033.  
1034.          Echo ""
1035.  
1036.       end if
1037.    next
1038.  
1039.    Echo cloneCounter & " objects(s) cloned"
1040. end sub
1041.  
1042.  
1043.  
1044. sub PrintUsageAndQuit
1045.    Echo "Usage: cscript " & SCRIPT_FILENAME & " /srcdc:<dcname> /srcdom:<domain>"
1046.    Echo "/dstdc:<dcname> /dstdom:<domain> /dstou:<ouname>"
1047.    Echo ""
1048.    Echo "Parameters:"
1049.    Echo " /srcdc   - source domain controller NetBIOS computer name (without leading \\)"
1050.    Echo ""
1051.    Echo " /srcdom  - source domain NetBIOS name"
1052.    Echo ""
1053.    Echo " /dstdc   - destination domain controller NetBIOS computer name (without "
1054.    Echo "            leading \\)"
1055.    Echo "            This script must be run on the machine indicated here."
1056.    Echo ""
1057.    Echo " /dstdom  - destination domain DNS name"
1058.    Echo ""
1059.    Echo " /dstou   - destination OU for the clones"
1060.    Echo ""
1061.    Echo "Notes:"
1062.    Echo ""
1063.    Echo "If the destination principals do not exist, they will be created."
1064.    Echo "In that case, the OU named by dstou must exist."
1065.    Echo ""
1066.    Echo "Currently logged-on user must be a member of the Administrators"
1067.    Echo "group of both the source and destination domains."
1068.    Echo ""
1069.    Echo SCRIPT_DATE & " " & SCRIPT_TIME
1070.  
1071.    wscript.quit(0)
1072. end sub
1073.  
1074.  
1075.  
1076. ' clonedom.vbi end
1077.  
1078.  
1079.  
1080.  
1081. Main
1082. wscript.quit(0)
1083.  
1084.  
1085.  
1086. ' returns True if the object is a global group and not a well-known account
1087.  
1088. function ShouldCloneObject(byref srcObject)
1089.    on error resume next
1090.  
1091.    dim srcObjectClass
1092.    srcObjectClass = ObjectClass(srcObject)
1093.    if srcObjectClass = CLASS_GLOBAL_GROUP OR srcObjectClass = CLASS_USER then
1094.  
1095.       ' determine if the object is well-known
1096.  
1097.       sid.SetAs ADS_SID_WINNT_PATH, srcObject.AdsPath & "," & srcObject.Class
1098.       if Err.Number then DumpErrAndQuit
1099.  
1100.       dim sidString
1101.       sidString = sid.GetAs(ADS_SID_SDDL)
1102.       if Err.Number then DumpErrAndQuit
1103.       'To Stop Cloning Well Known Sids Uncomment 4 lines below
1104.  
1105.      ' if HasWellKnownRid(sidString) then
1106.      '    ShouldCloneObject = False
1107.      '    exit function
1108.      ' end if
1109.  
1110.       if IsBuiltInSid( sidString ) then
1111.          Echo srcObject.Name & " is a builtin Account."
1112.          Echo "BuiltIn Users and Groups cannot be cloned"
1113.          ShouldCloneObject = False
1114.          exit function
1115.       end if
1116.  
1117.  
1118.       ShouldCloneObject = True
1119.       exit function
1120.    end if
1121.  
1122.    ShouldCloneObject = False
1123. end function
1124.  
1125.  
1126.  
1127. ' cloneggu.vbt end
1128.