home *** CD-ROM | disk | FTP | other *** search

---

/ ftp.ac-grenoble.fr / 2015.02.ftp.ac-grenoble.fr.tar / ftp.ac-grenoble.fr / assistance.logicielle / XP_ServicePack-3.iso / support / tools / support.cab / clonepr.vbs

< prev

next >

Wrap

Text File  |  2001-08-17  |  33KB  |  1,078 lines

---

1.  
2. ' clonepr.vbt start
3.  
4. ' CloneSecurityPrincipal sample VBScript
5. '
6. ' Clones accounts from one domain to another
7. '
8. ' Copyright (c) 1999 Microsoft Corporation
9.  
10.  
11.  
12.  
13.  
14.  
15.  
16.  
17.  
18. const SCRIPT_FILENAME    = "clonepr.vbs"
19. const SCRIPT_SOURCE_NAME = "clonepr.vbt"       
20. const SCRIPT_DATE        = "Aug 17 2001"      
21. const SCRIPT_TIME        = "12:42:13"      
22. const ARG_COUNT          = 7
23.  
24.  
25.  
26. ' clonepr.vbi start
27.  
28.  
29.  
30.  
31.  
32.  
33.  
34.  
35.  
36. ' various manifest constants
37. const CLASS_USER         = 0
38. const CLASS_LOCAL_GROUP  = 1
39. const CLASS_GLOBAL_GROUP = 2
40. const CLASS_OTHER        = 3
41.  
42. ' the elements of this array are indexed by the above constants
43. dim classNames(2)
44. classNames(CLASS_USER)         = "User" 
45. classNames(CLASS_LOCAL_GROUP)  = "Group"
46. classNames(CLASS_GLOBAL_GROUP) = "Group"
47.  
48. ' from iads.h
49. const ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP     = &H4       
50. const ADS_GROUP_TYPE_GLOBAL_GROUP           = &H2
51. const ADS_GROUP_TYPE_UNIVERSAL_GROUP        = &H8
52. const ADS_GROUP_TYPE_SECURITY_ENABLED       = &H80000000
53. const ADS_NAME_INITTYPE_DOMAIN              = 1         
54. const ADS_NAME_INITTYPE_SERVER              = 2         
55. const ADS_NAME_TYPE_1779                    = 1         
56. const ADS_NAME_TYPE_NT4                     = 3         
57. const ADS_NAME_TYPE_SID_OR_SID_HISTORY_NAME = 12        
58. const ADS_PROPERTY_APPEND                   = 3         
59. const ADS_PROPERTY_DELETE                   = 4         
60. const ADS_PROPERTY_UPDATE                   = 2         
61.  
62. ' from lmaccess.h
63. const UF_TEMP_DUPLICATE_ACCOUNT = &H0100
64. const UF_NORMAL_ACCOUNT         = &H0200
65.  
66. ' from andyhar's adsi reskit
67. const ADS_SID_RAW                   = 0
68. const ADS_SID_HEXSTRING             = 1
69. const ADS_SID_SDDL                  = 4
70. const ADS_SID_WINNT_PATH            = 5
71. const ADS_SID_ACTIVE_DIRECTORY_PATH = 6
72.  
73. const E_ADS_UNKNOWN_OBJECT          = &H80005004
74. const E_ADS_ERROR_DS_NO_SUCH_OBJECT = &H80072030
75. const E_ADS_ERROR_DS_NAME_NOT_FOUND = &H80072116
76.  
77.  
78.  
79. ' create the COM object implementing ICloneSecurityPrincipal
80. dim clonepr
81. set clonepr = CreateObject("DSUtils.ClonePrincipal")
82. if Err.Number then DumpErrAndQuit
83.  
84. ' create the COM object implementing IADsNameTranslate
85. dim nameTranslate
86. set nameTranslate = CreateObject("NameTranslate")
87. if Err.Number then DumpErrAndQuit
88.  
89. ' create the COM object implementing IADsPathname
90. dim adsPathname
91. set adsPathname = CreateObject("Pathname")
92. if Err.Number then DumpErrAndQuit
93.  
94. ' create the COM object implementing IADsError
95. dim adsError
96. set adsError = CreateObject("DSUtils.ADsError")
97. if Err.Number then DumpErrAndQuit
98.  
99. ' create the COM object implementing IADsSID
100. dim sid
101. set sid = CreateObject("DSUtils.ADsSID")
102. if Err.Number then DumpErrAndQuit
103.  
104.  
105.  
106. '
107. ' functions and subroutines follow
108. '
109.  
110.  
111. sub CloneSecurityPrincipal(byref srcObject, byval srcSam, byval dstDom, byval dstDC, byval dstSam, byval dstDN)
112.    on error resume next
113.  
114.    ' verify that the source object is of a type that we support
115.    dim srcObjectClass
116.    srcObjectClass = ObjectClass(srcObject)
117.  
118.     select case srcObjectClass
119.         case CLASS_USER
120.             if srcObject.UserFlags and UF_TEMP_DUPLICATE_ACCOUNT then
121.                 Echo "Source object is a temporary local user account, which is not supported."
122.              wscript.quit(0)            
123.             end if 
124.       case CLASS_LOCAL_GROUP
125.       case CLASS_GLOBAL_GROUP
126.          ' do nothing
127.       case else
128.          ' not a supported object class
129.          Echo "Source object is of type " & srcObject.Class & ", which is not supported by this tool."
130.          wscript.quit(0)
131.    end select
132.  
133.    ' bind to the destination object
134.  
135.    ' we attempt to locate the destination object by it's sam account name, in
136.    ' order to determine if that name is already in use by a security principal
137.    ' in the destination domain.
138.  
139.    dim dstObjectSamPath
140.    dstObjectSamPath = "WinNT://" & dstDom & "/" & dstDC & "/" & dstSam
141.  
142.    dim dstObjectDNPath
143.    dstObjectDNPath = "LDAP://" & dstDC & "/" & dstDN
144.  
145.    dim dstObjectClass
146.    dim dstObject
147.  
148.    Err.Clear
149.    set dstObject = GetObject(dstObjectSamPath)
150.    dim errnum1
151.    errnum1 = Err.Number
152.    select case errnum1
153.       case E_ADS_UNKNOWN_OBJECT
154.          ' destination is not found
155.  
156.          Echo "Destination object " & dstSam & " not found (by SAM name) path used: " & dstObjectSamPath
157.  
158.          ' bind to the DN of the object, then
159.          Err.Clear
160.          set dstObject = GetObject(dstObjectDNPath)
161.          dim errnum2
162.          errnum2 = Err.Number
163.          select case errnum2
164.             case E_ADS_ERROR_DS_NO_SUCH_OBJECT
165.                Echo "Destination object " & dstDN & " not found (by DN) path used: " & dstObjectDNPath
166.  
167.                ' create the dstDN object of the same type as the source
168.                Err.Clear
169.                set dstObject = CreateDestinationDN(dstSam, dstDN, dstDC, srcObjectClass)
170.  
171.             case 0
172.                ' dstDN found
173.  
174.                Echo "Destination DN found"
175.  
176.                dstObjectClass = ObjectClass(dstObject)
177.  
178.                if dstObjectClass <> srcObjectClass then
179.                   Bail "Source and destination objects differ in class type."
180.                end if
181.  
182.                if UCase(dstObject.SamAccountName) <> UCase(dstSam) then
183.                   ' sam name of the object is not the same as the sam name
184.                   ' specified on the command line
185.                   Bail "SAM account name of " & dstDN & " is " & dstObject.SamAccountName & " not " & dstSam
186.                end if
187.  
188.             case else
189.                Echo "Error attempting to bind to " & dstObjectDNPath
190.                DumpErrAndQuit
191.  
192.          end select
193.  
194.       case 0
195.          ' dstSam found.  Find the DN of the object it refers to
196.  
197.          Echo "Destination SAM name found"
198.  
199.          nameTranslate.Init ADS_NAME_INITTYPE_SERVER, dstDC
200.          if Err.Number then DumpErrAndQuit
201.  
202.          nameTranslate.Set ADS_NAME_TYPE_NT4, dstDom & "\" & dstSam
203.          if Err.Number then DumpErrAndQuit
204.  
205.          dim foundDN
206.          foundDN = nameTranslate.Get(ADS_NAME_TYPE_1779)  ' aka full DN
207.          if Err.Number then DumpErrAndQuit
208.  
209.          Echo dstSam & " refers to " & foundDN
210.  
211.          if UCase(dstDN) <> UCase(foundDN) then
212.             ' sam name is in use by another object than the one the user
213.             ' indicated.
214.             Bail "SAM account name " & dstSam & " is in use by object " & foundDN & ", not " & dstDN
215.          end if
216.  
217.          ' at this point, we've verified that the sam name specified by the
218.          ' user matches the DN.  Now verify that the DN refers to an object
219.          ' of the same type as the source  
220.  
221.          set dstObject = GetObject("LDAP://" & dstDC & "/" & foundDN)
222.          if Err.Number then DumpErrAndQuit
223.  
224.          dstObjectClass = ObjectClass(dstObject)
225.          if dstObjectClass <> srcObjectClass then
226.             Bail "Source and destination objects differ in class type."
227.          end if
228.  
229.       case else
230.          Echo "Error attempting to bind to destination object " & dstObjectSamPath
231.          DumpErrAndQuit
232.    end select
233.  
234.    ' at this point, dstObject is bound to the object onto which we
235.    ' should clone the source object 
236.  
237.    ' copy the source object's properties
238.    Echo "Setting properties for target " & dstObject.Class & " " & dstObject.Name
239.    select case srcObjectClass
240.       case CLASS_USER
241.  
242.          ' copy the properties of the source user to the destination user
243.          clonepr.CopyDownlevelUserProperties srcSam, dstSam, 0
244.          if Err.Number then DumpErrAndQuit
245.  
246.          Echo "Downlevel properties set."
247.  
248.          ' fixup the destination user's group memberships
249.  
250.          FixupUserGroupMemberships srcObject, dstObject, dstDC
251.          if Err.Number then DumpErrAndQuit
252.  
253.          Echo "User's Group memberships restored."
254.  
255.          ' commit the changes
256.          dstObject.SetInfo
257.          if Err.Number then DumpErrAndQuit
258.  
259.          Echo "User changes commited."
260.  
261.       case CLASS_LOCAL_GROUP
262.          ' copy the source group's description
263.          if srcObject.Description <> "" then 
264.             dstObject.Put "Description", srcObject.Description
265.             dstObject.SetInfo
266.             if Err.Number then DumpErrAndQuit
267.          end if
268.  
269.          Echo "Local group description set."
270.  
271.          ' copy the source local group's membership
272.          CopyLocalGroupMembership srcObject, dstObject
273.          if Err.Number then DumpErrAndQuit
274.  
275.          Echo "Local group membership copied."
276.  
277.          ' commit the changes
278.          dstObject.SetInfo
279.          if Err.Number then DumpErrAndQuit
280.  
281.          Echo "Local group changes commited."
282.  
283.       case CLASS_GLOBAL_GROUP
284.          ' copy the source group's description
285.          if srcObject.Description <> "" then 
286.             dstObject.Put "Description", srcObject.Description
287.             dstObject.SetInfo
288.             if Err.Number then DumpErrAndQuit
289.          end if
290.  
291.          Echo "Global group description set."
292.  
293.          ' fixup the destination group's members
294.          FixupGlobalGroupMembers srcObject, dstObject, dstDC
295.          if Err.Number then DumpErrAndQuit
296.  
297.          Echo "Global group memberships restored."
298.  
299.          ' commit the change
300.          dstObject.SetInfo
301.          if Err.Number then DumpErrAndQuit
302.  
303.          Echo "Global group changes commited."
304.  
305.       case else
306.          ' why are we here?  what is my purpose in life?
307.          wscript "illegal code path"
308.          wscript.quit(0)
309.  
310.    end select
311.  
312.    ' Add the SID of the source principal to the sid history of the destination
313.    ' principal.
314.    Echo "Adding SID for source " & srcObject.Class & " " & srcObject.Name & " to SID history of target " & dstObject.Class & " " & dstObject.Name
315.    clonepr.AddSidHistory srcSam, dstSam, 0
316.    if Err.Number then DumpErrAndQuit
317.  
318.    Echo "SID history set successfully."
319.  
320.    ' all done
321.    Echo srcObject.Name & " cloned successfully."
322. end sub
323.  
324.  
325.  
326. ' Create a DS security principal object, and return a bound reference to it.
327. ' 
328. ' samName - in, sam account name of object-to-be
329. '
330. ' DN - in, full DN of the object to be created
331. '
332. ' DC - in, name of domain controller on which the object is to be created
333. '
334. ' objectClass - in, CLASS_ constant for the type of object to create
335.  
336. function CreateDestinationDN(byval samName, byval DN, byval DC, byval objectClass)
337.    on error resume next
338.    Echo "Creating " & DN
339.  
340.    ' determine the name of the container to place the new object by removing
341.    ' the leaf-most portion of the DN
342.    dim p
343.    p = InStr(1, DN, ",", 1)
344.  
345.    dim dstCN
346.    dstCN = Mid(DN, 1, p - 1)  ' - 1 to omit the comma
347.  
348.    dim ouDN, ouDNPath
349.    ouDN = Mid(DN, p + 1)   ' + 1 to skip the comma
350.    ouDNPath = "LDAP://" & DC & "/" & ouDN
351.       
352.    dim container, errnum3
353.    set container = GetObject(ouDNPath)
354.    select case Err.Number
355.       case E_ADS_ERROR_DS_NO_SUCH_OBJECT
356.          Bail "Container " & ouDN & " not found"
357.       case 0
358.          ' do nothing
359.       case else
360.          Echo "Error attempting to bind to " & ouDN
361.          DumpErrAndQuit
362.    end select
363.  
364.    dim dstObject
365.    set dstObject = container.Create(classNames(objectClass), dstCN)
366.    if Err.Number then
367.       Echo "Error attempting to create " & DN
368.       DumpErrAndQuit
369.    end if
370.  
371.    dstObject.Put "samAccountName", samName
372.    if Err.Number then
373.       Echo "Error attempting to set samAccountName for " & DN
374.       DumpErrAndQuit
375.    end if
376.  
377.    select case objectClass
378.       case CLASS_USER
379.          ' nothing more to add
380.  
381.       case CLASS_LOCAL_GROUP
382.          ' set group type to local
383.          dstObject.Put "groupType", ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP + ADS_GROUP_TYPE_SECURITY_ENABLED
384.          if Err.Number then
385.             Echo "Error attempting to set local group type for " & DN
386.             DumpErrAndQuit
387.          end if
388.  
389.       case CLASS_GLOBAL_GROUP
390.          ' set group type to global
391.          dstObject.Put "groupType", ADS_GROUP_TYPE_GLOBAL_GROUP + ADS_GROUP_TYPE_SECURITY_ENABLED
392.          if Err.Number then
393.             Echo "Error attempting to set global group type for " & DN
394.             DumpErrAndQuit
395.          end if
396.  
397.    end select
398.  
399.    dstObject.SetInfo
400.    if Err.Number then
401.       Echo "Error attempting to commit create of " & DN
402.       DumpErrAndQuit
403.    end if
404.  
405.    Echo "Created " & DN
406.  
407.    set CreateDestinationDN = dstObject
408. end function
409.  
410.  
411.  
412. ' for each group to which the source user object belongs, look for that
413. ' group's sid in the sid histories of objects in the destination forest
414. ' (domain?).  If found, add the destination user as a member of the located
415. ' group.  Thus, when a user is cloned, the clone becomes a member of all the
416. ' existing cloned groups corresponding to the original groups the
417. ' orignal user belonged to.
418.  
419. sub FixupUserGroupMemberships(byref srcObject, byref dstObject, byval dstDC)
420.    on error resume next
421.    Echo "Fixing group memberships for " & dstObject.Class & " " & dstObject.Name
422.  
423.    nameTranslate.Init ADS_NAME_INITTYPE_SERVER, dstDC
424.    if Err.Number then DumpErrAndQuit
425.  
426.    dim group
427.    dim sidString
428.    for each group in srcObject.Groups
429.       if (ObjectClass(group) = CLASS_GLOBAL_GROUP) then
430.          Echo "  Found global group " & group.ADsPath
431.  
432.          sid.SetAs ADS_SID_WINNT_PATH, group.AdsPath & "," & group.Class
433.          if Err.Number then DumpErrAndQuit
434.  
435.          sidString = sid.GetAs(ADS_SID_SDDL)
436.          if Err.Number then DumpErrAndQuit
437.  
438.          if IsBuiltInSid(sidString) then
439.             Echo "  " & group.ADsPath & " is a built-in group"
440.  
441.             ' built-ins are present in every domain with the same sid.  So we
442.             ' can't search for the corresponding destination object by sid, or
443.             ' we may be multiple matches (if there is more than 1 domain in the
444.             ' destination forest, and the destination DC also happens to be
445.             ' a global catalog).  So, here we compose a sid-style LDAP path
446.             ' for the built-in destination object.
447.  
448.             sidString = "<sid=" & sid.GetAs(ADS_SID_HEXSTRING) & ">"
449.             if Err.Number then DumpErrAndQuit
450.  
451.             dim mypath
452.             mypath = "LDAP://" & dstDC & "/" & sidString
453.  
454.             dim mygroup
455.             set mygroup = GetObject(mypath)
456.             if Err.Number then DumpErrAndQuit
457.  
458.             if not IsUserMemberOfGroup(mygroup, dstObject) then
459.                Echo "  Adding " & dstObject.Name & " to group " & mygroup.Name
460.                mygroup.Add dstObject.AdsPath
461.             else
462.                Echo "  " & dstObject.Name & " is already member of " & mygroup.Name
463.             end if
464.             if Err.Number then DumpErrAndQuit 
465.          else
466.  
467.             ' find the DN of the object with that sid as its object sid or in
468.             ' its sid history (the sid history is where it will be, if the object
469.             ' is a clone).
470.  
471.             nameTranslate.Set ADS_NAME_TYPE_SID_OR_SID_HISTORY_NAME, sidString
472.             select case Err.Number
473.                case E_ADS_ERROR_DS_NAME_NOT_FOUND
474.                   ' do nothing: skip this member; it hasn't been cloned yet
475.  
476.                   Echo "  Skipping " & group.ADsPath & " -- not cloned yet"
477.  
478.                case 0
479.                   ' found!
480.                   dim foundDN
481.                   foundDN = ""
482.                   foundDN = nameTranslate.Get(ADS_NAME_TYPE_1779)  ' aka full DN
483.  
484.                   select case Err.Number
485.                      case E_ADS_ERROR_DS_NAME_NOT_FOUND
486.                         ' do nothing: skip this member; it hasn't been cloned yet
487.                      case 0
488.                         AddUserToGroup dstObject, foundDN, dstDC
489.                      case else
490.                         DumpErrAndQuit
491.                   end select
492.  
493.                case else
494.                   DumpErrAndQuit
495.  
496.             end select
497.          end if
498.       else
499.          Echo "  Skipping group " & group.AdsPath & " -- not global group"
500.       end if
501.  
502.       ' need to clear this so next iteration won't choke.
503.       Err.Clear
504.    next
505. end sub
506.  
507.  
508.  
509. ' for each member of the source local group, obtain the member's SID and add
510. ' that SID as a member of the destination local group.  If that SID does not
511. ' refer to a security principal in the destination domain, then the SAM will
512. ' create a Foreign Principal Object (FPO) to represent that SID.  then SAM
513. ' will replace the reference to the SID in the group membership with the DN
514. ' of the FPO.  An FPO acts like a proxy for the SID.
515.  
516. sub CopyLocalGroupMembership(byref srcObject, byref dstObject)
517.    on error resume next
518.  
519.    Echo "Copying local group membership"
520.  
521.    ' get the sids in string form of each of the members of the source
522.    ' group.  collect them in an array
523.    dim member
524.    dim sidString
525.    dim sidStringArray()
526.    dim i
527.    i = 0
528.  
529.    dim dn
530.    dn = dstObject.Get("distinguishedName")
531.    if Err.Number then DumpErrAndQuit
532.  
533.    Echo "  Getting destination group membership as SIDs"
534.  
535.    dim dstExistingMemberSIDs
536.    dstExistingMemberSIDs = clonepr.GetMembersSIDs(dn)
537.    if Err.Number then DumpErrAndQuit
538.  
539.    dim numExistingMembers
540.    numExistingMembers = 0
541.    dim x
542.    for each x in dstExistingMemberSIDs
543.      numExistingMembers = numExistingMembers + 1
544.    next
545.  
546.    for each member in srcObject.Members
547.       dim sidDeletedAccount
548.       if IsDeletedAccount(member.AdsPath, sidDeletedAccount) then
549.          Echo "  Considering deleted account: " & sidDeletedAccount
550.          sid.SetAs ADS_SID_SDDL, sidDeletedAccount
551.       else
552.          Echo "  Considering normal account: " & member.AdsPath
553.          sid.SetAs ADS_SID_WINNT_PATH, member.AdsPath & "," & member.Class
554.       end if
555.       if Err.Number then DumpErrAndQuit
556.  
557.       sidString = "<sid=" & sid.GetAs(ADS_SID_HEXSTRING) & ">"
558.       if Err.Number then DumpErrAndQuit
559.  
560.       if (0 = numExistingMembers) Or (not SidStringExists(sidString, dstExistingMemberSIDs)) then
561.          Echo "  Adding " & sidString
562.          redim preserve sidStringArray(i)
563.          sidStringArray(i) = sidString
564.          i = i + 1
565.       end if
566.    next
567.  
568.    ' use the array to update the destination group in one whack.
569.    if i then
570.       if 0 = numExistingMembers then 
571.         dstObject.PutEx ADS_PROPERTY_UPDATE, "member", sidStringArray
572.       else
573.         dstObject.PutEx ADS_PROPERTY_APPEND, "member", sidStringArray
574.       end if
575.       if Err.Number then DumpErrAndQuit
576.  
577.       dstObject.SetInfo
578.       if Err.Number then DumpErrAndQuit
579.    end if
580. end sub
581.  
582.  
583.  
584. function IsDeletedAccount(byref AdsPath, byref sidDeletedAccount)
585.   dim pos0, pos1
586.   pos0 = InStr(1, AdsPath, "://", 1)
587.   pos1 = InStr(pos0 + 3, AdsPath, "/", 1)
588.  
589.   if 0 = pos1 then
590.     IsDeletedAccount = True
591.     sidDeletedAccount = Mid(AdsPath, pos0 + 3)
592.   else
593.     IsDeletedAccount = False
594.   end if
595.  
596. end function
597.  
598.  
599.  
600. function SidStringExists(byref sidString, byref dstExistingMemberSIDs)
601.   dim sid
602.   sid = UCase(sidString)
603.  
604.   SidStringExists = False
605.  
606.   dim x
607.   For each x in dstExistingMemberSIDs
608.     if UCase(x) = sid then
609.        Echo "  Skipping existing sid " & x
610.        SidStringExists = True
611.        exit function
612.     end if
613.   next
614.  
615. end function
616.  
617.  
618.  
619. ' for each member of the source global group, look for that member's sid in
620. ' the sid histories of objects the destination forest (domain?).  If found,
621. ' add that located object as a member of the destination group.  Thus,
622. ' when a global group is cloned, the existing clones of all users that belong
623. ' to the original group will belong to the cloned group.
624.  
625. sub FixupGlobalGroupMembers(byref srcObject, byref dstObject, byval dstDC)
626.    on error resume next
627.    Echo "Fixing group membership for " & dstObject.Class & " " & dstObject.Name
628.  
629.    nameTranslate.Init ADS_NAME_INITTYPE_SERVER, dstDC
630.    if Err.Number then DumpErrAndQuit
631.  
632.    dim member
633.    dim sidString
634.    for each member in srcObject.Members
635.  
636.       if member.UserFlags and UF_NORMAL_ACCOUNT then
637.  
638.          ' extract the sid of the account
639.          sid.SetAs ADS_SID_WINNT_PATH, member.AdsPath & "," & member.Class
640.          if Err.Number then DumpErrAndQuit
641.  
642.          sidString = sid.GetAs(ADS_SID_SDDL)
643.          if Err.Number then DumpErrAndQuit
644.  
645.          ' find the DN of the member with that sid as its object sid or in
646.          ' its sid history (the sid history is where it will be, if the member
647.          ' is a clone).
648.          nameTranslate.Set ADS_NAME_TYPE_SID_OR_SID_HISTORY_NAME, sidString
649.          select case Err.Number
650.             case E_ADS_ERROR_DS_NAME_NOT_FOUND
651.                ' do nothing: skip this member; it hasn't been cloned yet
652.  
653.             case 0
654.                ' found!
655.                dim foundDN
656.                foundDN = ""
657.                foundDN = nameTranslate.Get(ADS_NAME_TYPE_1779)  ' aka full DN
658.  
659.                select case Err.Number
660.                   case E_ADS_ERROR_DS_NAME_NOT_FOUND
661.                      ' do nothing: skip this member; it hasn't been cloned yet
662.                   case 0
663.                      ' add the dn to the members property of the dst object
664.                      dim path
665.                      path = "LDAP://" & dstDC & "/" & foundDN
666.                      Dim tempObj 
667.                      set tempObj = GetObject(path)
668.                      if Err.Number then DumpErrAndQuit
669.                      if NOT IsUserMemberOfGroup( dstObject, tempObj ) then
670.                         Echo "  adding " & foundDN & " to group " & dstObject.Name
671.                         dstObject.Add path
672.                      end if
673.                      if Err.Number then DumpErrAndQuit
674.  
675.                   case else
676.                      DumpErrAndQuit
677.                end select
678.  
679.             case else
680.                DumpErrAndQuit
681.          end select
682.  
683.          ' need to clear this so the next iteration doesn't choke
684.          Err.Clear
685.  
686.       else 
687.  
688.          ' skip computer, temp and trust accounts
689.          Echo "  Skipping non-user account " & member.Name
690.       end if
691.    next
692. end sub
693.  
694.  
695.  
696. ' user - in, reference to user object, bound with LDAP provider.
697. ' 
698. ' groupDN - in, full DN of the group to which the user is to be added
699. ' 
700. ' dstDC - in, name of destination domain controller
701.  
702. sub AddUserToGroup(byref user, byval groupDN, byval dstDC)
703.    on error resume next
704.  
705.    dim path
706.    path = "LDAP://" & dstDC & "/" & groupDN
707.  
708.    dim group
709.    set group = GetObject(path)
710.    if Err.Number then DumpErrAndQuit
711.  
712.    if not IsUserMemberOfGroup(group,user) then 
713.       Echo "  Adding " & user.Name & " to group " & group.Name
714.       group.Add user.AdsPath
715.    else
716.       Echo "  " & user.Name & " is already member of " & group.Name
717.    end if
718.    if Err.Number then DumpErrAndQuit
719. end sub
720.  
721.  
722.  
723. function IsUserMemberOfGroup( byref group, byref user )
724.    if group.IsMember(user.AdsPath) then
725.         IsUserMemberOfGroup = True
726.         exit function
727.    end if 
728.  
729.    sid.SetAs ADS_SID_ACTIVE_DIRECTORY_PATH, group.AdsPath
730.    if Err.Number then DumpErrAndQuit
731.  
732.    dim sidString
733.     sidString = sid.GetAs(ADS_SID_SDDL)
734.     if Err.Number then DumpErrAndQuit
735.     if Len(sidString) > 9 then
736.         dim lastDash
737.         lastDash = InStrRev(sidString, "-", -1, 1)
738.         if lastDash then
739.            dim ridString
740.            ridString = Mid(sidString, lastDash + 1)
741.            if StrComp(ridString,user.PrimaryGroupId,1) = 0 then
742.                 IsUserMemberOfGroup = True
743.                 exit function
744.            end if
745.         end if 
746.     end if
747.     
748.     IsUserMemberOfGroup = False
749. end function
750.     
751.  
752.  
753. ' based on the class of the object, return one of CLASS_USER,
754. ' CLASS_LOCAL_GROUP, CLASS_GLOBAL_GROUP, CLASS_OTHER
755.  
756. function ObjectClass(object)
757.    dim cls
758.    cls = UCase(object.Class)
759.  
760.    if cls = "GROUP" then
761.       if (object.GroupType and ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP) then
762.          ' type is local group
763.          ObjectClass = CLASS_LOCAL_GROUP
764.          exit function
765.       else
766.          if ((object.GroupType and ADS_GROUP_TYPE_GLOBAL_GROUP) or (object.GroupType and ADS_GROUP_TYPE_UNIVERSAL_GROUP)) then
767.             ' type is global group
768.             ObjectClass = CLASS_GLOBAL_GROUP
769.             exit function
770.          end if
771.       end if
772.    else
773.       if cls = "USER" then
774.          ' type is user
775.          ObjectClass = CLASS_USER
776.          exit function
777.       end if
778.    end if
779.  
780.    ' type is not recognized
781.    ObjectClass = CLASS_OTHER
782.    exit function
783. end function
784.  
785.  
786.  
787. ' returns non-zero if the stringized SID refers to a well-known rid, zero
788. ' otherwise
789.  
790. function HasWellKnownRid(byval sidString)
791.    ' a SID refers to a well-known account if the first sub-authority (aka
792.    ' RID) is < 1000.  The first subauthority is the last portion of the
793.    ' stringized SID
794.  
795.    if Len(sidString) > 9 then
796.       dim lastDash
797.       lastDash = InStrRev(sidString, "-", -1, 1)
798.       if lastDash then
799.          dim ridString
800.          ridString = Mid(sidString, lastDash + 1)
801.          if CLng(ridString) < 1000 then
802.             HasWellKnownRid = True
803.             exit function
804.          end if
805.       end if
806.    end if
807.  
808.    HasWellKnownRid = False
809. end function
810.  
811.  
812.  
813. ' returns non-zero if the stringized SID refers to a builtin sid, zero
814. ' otherwise
815.  
816. function IsBuiltInSid(byval sidString)
817.    ' a SID  refers to builtin account or group if it has prefix S-1-5-32-
818.  
819.    if Len(sidString) > 9 then
820.          dim  prefixString
821.          prefixString = Mid(sidString, 1, 9)
822.          if StrComp( prefixString, "S-1-5-32-", 1 ) = 0  then
823.             IsBuiltInSid = true
824.             exit function
825.          end if
826.    end if
827.  
828.    IsBuiltInSid = False
829. end function
830.  
831.  
832.  
833. ' searches for and returns the value of a command line argument of the form
834. ' /argName:value from the supplied array.  erases the entry in the array so
835. ' that only untouched entries remain.
836.  
837. function GetArgValue(argName, args())
838.     dim a
839.     dim v
840.     dim argNameLength
841.     dim x
842.     dim argCount
843.     dim fullArgName
844.  
845.     fullArgName = "/" & argName & ":"
846.     argCount = Ubound(args)
847.  
848.     ' Get the length of the argname we are looking for
849.     argNameLength = Len(fullArgName)
850.     GetArgValue = "" ' default to nothing
851.     
852.     for x = 0 To argCount 
853.         if Len(args(x)) >= argNameLength then
854.  
855.             a = Mid(args(x), 1, argNameLength)
856.             if UCase(a) = UCase(fullArgName) then
857.  
858.                 ' erase it so we can look for unknown args later
859.                 v = args(x)
860.                 args(x) = ""
861.  
862.                 if Len(v) > argNameLength then
863.                     GetArgValue = Mid(v, argNameLength + 1)
864.                     exit function
865.                 else 
866.                     GetArgValue = ""
867.                     exit function
868.                 end if
869.             end if
870.         end if
871.     next 
872. end function
873.  
874.  
875.  
876. ' walks thru the array searching for any non-empty element.  if at least one
877. ' is found, then return non-zero.  Otherwise return 0.
878.  
879. function CheckForBadArgs(byref args())
880.    dim i
881.    for i = 0 to UBound(args) 
882.       if Len(args(i)) > 0 then
883.          CheckForBadArgs = 1
884.          exit function
885.       end if
886.    next
887.  
888.    CheckForBadArgs = 0
889. end function
890.  
891.  
892.  
893. sub DumpErrAndQuit
894.    dim errnum
895.    errnum = Err.Number
896.  
897.    Echo "Error 0x" & CStr(Hex(errnum)) & " occurred."
898.    if len(Err.Description) then
899.       Echo "Error Description: " & Err.Description
900.    end if
901.    if len(Err.Source) then 
902.       Echo "Error Source     : " & Err.Source
903.    end if
904.    Echo "ADsError Description: "
905.    Echo adsError.GetErrorMsg(errnum)
906.    wscript.quit(0)
907. end sub
908.  
909.  
910.  
911. sub Bail(byref message)
912.    Echo "Error: " & message
913.    wscript.quit(0)
914. end sub
915.  
916.  
917.  
918. sub Echo(byref message)
919.    wscript.echo message
920. end sub
921.  
922.  
923.  
924. ' clonepr.vbi end
925.  
926.  
927.  
928.  
929.  
930.  
931.  
932.  
933. Main
934. wscript.quit(0)
935.  
936.  
937. sub Main
938.    if wscript.arguments.count <> ARG_COUNT then
939.       PrintUsageAndQuit
940.    end if
941.  
942.    ' copy the command-line arguments for parsing
943.    dim args()
944.    Redim args(0)
945.    args(0) = ""
946.  
947.    dim i
948.    for i = 0 to wscript.arguments.count - 1
949.        Redim Preserve args(i)
950.        args(i) = wscript.arguments.item(i)
951.    next
952.  
953.    ' command line parameters
954.    dim srcDC       ' source domain controller                     
955.    dim srcDom      ' source domain                                
956.    dim srcSam      ' source principal SAM name
957.    dim dstDC       ' destination controller                       
958.    dim dstDom      ' destination domain                           
959.    dim dstSam      ' destination principal SAM name
960.    dim dstCN       ' CN=dstSam
961.    dim dstCNnew    ' CN=dstSam, escaped
962.    dim dstDNTmp    ' destination principal Full Distinguished Name
963.    dim dstDN       ' destination principal Full Distinguished Name, escaped
964.  
965.    ' parse the saved command-line arguments, extracting the values
966.    srcDC   = GetArgValue("srcdc",   args)
967.    srcDom  = GetArgValue("srcdom",  args)
968.    srcSam  = GetArgValue("srcsam",  args)
969.    dstDC   = GetArgValue("dstdc",   args)
970.    dstDom  = GetArgValue("dstdom",  args)
971.    dstSam  = GetArgValue("dstsam",  args)
972.    dstDNTmp= GetArgValue("dstdn",   args)
973.    dstCN   = "CN=" & dstSam
974.    dstCNnew= adsPathname.GetEscapedElement(0, dstCN)
975.    If (UCase(dstCN) <> UCase(dstCNnew)) And (UCase(dstCN) = UCase(Left(dstDNTmp, Len(dstCN)))) Then
976.      dstDN = dstCNnew & Mid(dstDNTmp, Len(dstCN) + 1)
977.    Else
978.      dstDN = dstDNTmp
979.    End If
980.  
981.    ' ensure the user did not pass any unrecognized command-line arguments
982.    if CheckForBadArgs(args) then
983.        Echo "Unknown command-line arguments specified"
984.        PrintUsageAndQuit
985.    end if
986.  
987.    ' establish authenticate connections to the source and destination domain
988.    ' controllers
989.    on error resume next
990.    clonepr.Connect srcDC, srcDom, dstDC, dstDom
991.    if Err.Number then DumpErrAndQuit
992.  
993.    Echo "Connected to source and destination domain controllers"
994.  
995.    ' bind to the source object
996.    dim srcPath
997.    srcPath = "WinNT://" & srcDom & "/" & srcDC & "/" & srcSam
998.    dim srcObject
999.    set srcObject = GetObject(srcPath)
1000.    select case Err.Number
1001.       case E_ADS_UNKNOWN_OBJECT
1002.          Bail "Source object " & srcSam & " not found. Path used: " & srcPath
1003.       case 0
1004.          ' do nothing
1005.       case else
1006.          DumpErrAndQuit
1007.    end select
1008.  
1009.    Echo "Bound to source " & srcObject.Class & " " & srcObject.Name
1010.    if ShouldCloneObject(srcObject) then
1011.         CloneSecurityPrincipal srcObject, srcSam, dstDom, dstDC, dstSam, dstDN
1012.    end if 
1013. end sub
1014.  
1015.  
1016.  
1017. function ShouldCloneObject(byref srcObject)
1018.    on error resume next
1019.  
1020.     sid.SetAs ADS_SID_WINNT_PATH, srcObject.AdsPath & "," & srcObject.Class
1021.     if Err.Number then DumpErrAndQuit
1022.  
1023.     dim sidString
1024.     sidString = sid.GetAs(ADS_SID_SDDL)
1025.     if Err.Number then DumpErrAndQuit
1026.  
1027.     if IsBuiltInSid( sidString ) then
1028.         Echo srcObject.Name & " is a builtin Account."
1029.         Echo "BuiltIn Users and Groups cannot be cloned"
1030.         ShouldCloneObject = False
1031.         exit function
1032.     end if 
1033.  
1034.    ShouldCloneObject = True
1035. end function
1036.  
1037.  
1038.  
1039. sub PrintUsageAndQuit
1040.    Echo "Usage: cscript " & SCRIPT_FILENAME & " /srcdc:<dcname> /srcdom:<domain>"
1041.    Echo "/srcsam:<name> /dstdc:<dcname> /dstdom:<domain> /dstsam:<name>"
1042.    Echo "/dstdn<distinguished name>"
1043.    Echo ""
1044.    Echo "Parameters:"
1045.    Echo " /srcdc   - source domain controller NetBIOS computer name (without leading \\)"
1046.    Echo ""
1047.    Echo " /srcdom  - source domain NetBIOS name"
1048.    Echo ""
1049.    Echo " /srcsam  - source principal SAM name"
1050.    Echo ""
1051.    Echo " /dstdc   - destination domain controller NetBIOS computer name (without "
1052.    Echo "            leading \\)"
1053.    Echo "            This script must be run on the machine indicated here."
1054.    Echo ""
1055.    Echo " /dstdom  - destination domain DNS name"
1056.    Echo ""
1057.    Echo " /dstsam  - destination principal SAM name"
1058.    Echo ""
1059.    Echo " /dstdn   - destination principal Full Distinguished Name"
1060.    Echo ""
1061.    Echo "Notes:"
1062.    Echo ""
1063.    Echo "If the destination principal does not exist, it will be created."
1064.    Echo "In that case, the container naming context of the destination Full"
1065.    Echo "Distinguished Name (i.e. the parent container) must exist."
1066.    Echo ""
1067.    Echo "Currently logged-on user must be a member of the Administrators"
1068.    Echo "group of both the source and destination domains."
1069.    Echo ""
1070.    Echo SCRIPT_DATE & " " & SCRIPT_TIME
1071.  
1072.    wscript.quit(0)
1073. end sub
1074.  
1075.  
1076.  
1077. ' clonepr.vbt end
1078.