none
如何更改AD帳號的屬性預設值? RRS feed

  • 問題

  • Dear all my advanced MS friends:

     

    小弟有建置Windows 2003 AD, 其中發現 建AD新帳號時 , "撥入"TAB 內的

    "遠端存取使用權限(撥入或VPN)" 的 預設值是"拒絕存取".

     

    所以想請問的是:

    建AD新帳號時可否讓新的帳號自動預設值是"允許存取" ? 不用每次建完還要去調整帳號的屬性...

     

    Thank you very much.

    2007年10月11日 上午 05:13

所有回覆

  • Please use the "msNPAllowDialin" to "TRUE" to on your script to enable the remote access right.

     

    2007年10月11日 上午 06:08
  • 請問大大:

    msNPAllowDialin在那裡可以設成true, 要寫AD程式動態改嗎?

    可否就讓Win系統預設值就是如此呢?

    非常感激!!!

    2007年10月11日 上午 10:19
  • As far as I know, there is one way to control this attribiute which is to write a script run against DC server.

     

    Reference:

    如何尋找具有遠端存取使用權限的所有使用者?

     

    2007年10月11日 上午 11:54
  •  RYAN LIAO 寫信:

    As far as I know, there is one way to control this attribiute which is to write a script run against DC server.

     

    Reference:

    如何尋找具有遠端存取使用權限的所有使用者?

    請教大大:

    我寫了程式去直接更改此屬性 msNPAllowDialin = TRUE 成功(用AD Explorer去觀察)

     

    但發現有些問題:

    1. Win2003 Server 上的 AD 使用者及電腦內的介面UI去觀察卻沒有改變...(Still in "拒絕存取" checked, not Allow Access)

    2.實際在IAS (Radius Server)去認證AD Account時, 無法登入.

     

    結果, 此設定值看起來似乎是不對的, 或者是還缺了什麼要更改, 才能讓上述1,2能夠成功呢?

     

    謝謝各位專家朋友.

     

    2007年10月12日 上午 10:22
  • If the msNPAllowDialin is = TRUE, you should be able to see this change from ADUC.

    ADUC---> User account properties---> Dial-in Tab

    the Allow access checkbox should be checked on Remote Access Permission (Dial-in or VPN).

    2007年10月12日 下午 12:05
  •  RYAN LIAO 寫信:

    If the msNPAllowDialin is = TRUE, you should be able to see this change from ADUC.

    ADUC---> User account properties---> Dial-in Tab

    the Allow access checkbox should be checked on Remote Access Permission (Dial-in or VPN).

     

    I code the msNPAllowDialin is = TRUE, but the Allow access checkbox is "not" checked on on Remote Access Permission (Dial-in or VPN) in Dial-In Tab.

     

    Still in "拒絕存取" status.

     

    I don't know Why ? Please help and thanks for help.

    2007年10月13日 上午 04:21
  • Please do the small test on ADUC & ADSI.

    • Pick up a test user account
    • Place a check mark beside the "Allow Access" from "Dial-in" tab
    • Test the VPN connectivity
    • Navigate the msNPAllowDialin attribute from ADSI editor

    If the above all goes well, then you need to check the script.

    2007年10月15日 上午 02:02
  •  RYAN LIAO 寫信:

    Please do the small test on ADUC & ADSI.

    • Pick up a test user account
    • Place a check mark beside the "Allow Access" from "Dial-in" tab
    • Test the VPN connectivity
    • Navigate the msNPAllowDialin attribute from ADSI editor

    If the above all goes well, then you need to check the script.

     

    手動去check  "Allow Access" from "Dial-in" tab, VPN connectivity is OK.

     

    但用程式去單獨改msNPAllowDialin attribute=TRUE not OK.

     

    手動去check  "Allow Access" from "Dial-in" tab, 發現msNPAllowDialin attribute會等於TRUE.

     

    可能是msNPAllowDialin attribute會等於TRUE還不夠吧...

    Thank you for help.
    2007年10月15日 上午 11:18
  • The simple way to find out the truth is to manually modify the msNPAllowDialin attribute from ADSI editor.

    • ADEI editor ---> expand the domain node partition
    • Pickup a test account ---> right click the properties
    • Modify the msNPAllowDialin from True to False or False to True
    • Naviate the user's VPN setting from ADUC.

    The account VPN setting should change along with the msNPAllowDialin attribute.

    Would you post the script for this purpose, so many of the experts could lookup the code for you.

    2007年10月16日 上午 02:20
  • Dear MS experts:

     

    我簡單地重述問題, 希望可以更清楚:

    This is setting the 'Remote Access Permission (Dial-in or VPN)' bit to 'Allow access'. ..... My script does set the "msNPAllowDialin" attribute to TRUE, but the button never gets updated from DENY to ALLOW in the "dial-in" tab. ...

    Thank you for help.

     

    snippet code is following:

    objUser.Put "MSNPAllowDialin", True 
    objUser.SetInfo

    2007年10月16日 上午 04:38
  •                 strRet = adObj.UpdateProperties_Bool(sourceCN, "msNPAllowDialin", True)
                    strRet = adObj.UpdateProperties(sourceCN, "userParameters", "m:                    d                         ")
    2009年10月27日 上午 07:59