Здравствуйте!
Очень нужна помощь экспертов в следующем вопросе.

Найти или написать скрипт, который в указанном OU Active Directory пробегает по всем учетным записям пользователей и устанавливает следующие параметры:
- запретить смену пароля пользователем;
- срок действия пароля не ограничен;
- хранить пароль, используемое обратимое шифрование;
- пароль = логин;
- включить в группу "Dynamic VLAN";
- исключить из группы "Domain Users";
- установить Primary Group = "Dynamic VLAN".

VB до завтра изучить точно не успею, поэтому обращаюсь к вам за помощью.

при нажатой кнопке шифт в ADUC выделяете всех нужных пользователей в OU - щелчок правой кнокой - свойства - выставляете, что нужно

на вскидку - есть несколько утилит dsquery , dsmode, dsadd, dsrm, csvde, ldifde.
пример dsquery user -inactive 8 | dsmod user -disabled yes.
Открываем командную строку на контроллере домена от имени учетной записи обладающей необходимыми правами и :
1) добавляем пользователей в группу :
dsquery user ou=Marketing,dc=microsoft,dc=com | dsmod group"cn=Marketing Staff,ou=Marketing,dc=microsoft,dc=com" -addmbr
2) логин=пароль
dsquery user ou=Marketing,dc=microsoft,dc=com | dsget user -samid | dsmod -pwd
3) запрет смены пароля, включаем обратимое шифрование, срок действия пароля не ограничен
dsquery user ou=Marketing,dc=microsoft,dc=com | dsmod user -canchpwd no -reversiblepwd yes -pwdneverexpires yes
по поводу смены основной группы:
http://blogs.technet.com/heyscriptingguy/archive/2005/08/31/how-can-i-change-a-user-s-primary-group.aspx
http://www.wisesoft.co.uk/scripts/vbscript_change_primary_group.aspx
4) удалить пользователей из группы Domain users :
dsquery user ou=Marketing,dc=microsoft,dc=com | dsmod group "CN=Domain Users,CN=Users,dc=microsoft,dc=com" -rmmbr

Вобще говоря подумайте, стоит ли удалять пользователей из группы "Domain Users"...

Вобще говоря подумайте, стоит ли удалять пользователей из группы "Domain Users"... »
а в чем проблема с этим?

WildCat,
Вам придется вручную выставлять разрешения на общие ресурсы, принтеры и т.п.

Вам придется вручную выставлять разрешения на общие ресурсы, принтеры и т.п. »
а разве VLAN-ы это не позволяют?

а разве VLAN-ы это не позволяют? »
Если Вы под VLAN подразумеваете то что описано в стандарте 802.1Q , то Вы что назыается "путаете теплое с мягким". VLAN-ми вы лишь позволите получать доступ одним пользователям и не получать другим, а как вы собираетесь контролировать уровень доступа к ресурсу ?
К примеру группа Domain Users по умолчанию является членом локальной группы Users на каждой клиентской машине в домене. Тоесть пользователи сразу получают некоторые разрешения по умолчанию, что упрощает задачи администрирования.

2) логин=пароль
dsquery user ou=Marketing,dc=microsoft,dc=com | dsget user -samid | dsmod -pwd »
на dsmod ругается
исправила вот так:
dsquery user ou=Marketing,dc=microsoft,dc=com | dsget user -samid | dsmod user -pwd
теперь говорит, что не указано значение для pwd
а как его указать, вроде ж ему должно передаваться значение из dsget, или я чего-то не понимаю?

переменные в dsmod идут через $$ емнип.
dsquery user ou=Marketing,dc=microsoft,dc=com | dsmod user -pwd $username$ наверно.

Кстати да, в хэлпе написано что можно через $username$ по крайней мере пути прописывать...
WildCat, попробуйте ;)
Кстати, перед всеми манипуляциями сделайте архив System State, чтоб потом если что AD восстановить можно было :)

Кстати, перед всеми манипуляциями сделайте архив System State, чтоб потом если что AD восстановить можно было
------- »
советую использовать виртуалки для тестов.
проще и дешевле.

Кстати, перед всеми манипуляциями сделайте архив System State, чтоб потом если что AD восстановить можно было »
у меня тестовый домен :)

WildCat, дак что, у Вас все получилось ? :)

А как бы глянуть, что у них там в $username$ прописано?
Потому что dsmod рапортует, что пароль изменен, а какой стал пароль - непонятно...

имя для входа :)
"Подстановочная переменная $username$ (без учета регистра) может использоваться
вместо имени учетной записи SAM в значении параметров -webpg, -profile, -hmdir,
и -email."

значит с паролем не сработало :(

WildCat, дак что, у Вас все получилось ? »
получилось пока только частично

- пароль = логин; »
Как раз таки сработало, проверьте, только без учета регистра - единственное, но думаю это можно юзерам объяснить :)
P.S. не зря же я cameron благодарность объявил ))))

там имя petya без регистра
пароль меняется, но на что - непонятно
проверяю через "запуск от имени"

кхм...
пароль стал $username$ %) (т.е. вот этот набор букв с долларами)
что я неправильно делаю?

Теперь в группу добавляется, но если хоть один из пользователей (в списке на добавление) уже в этой группе, то остальные не добавляются. С удалением та же история.
Ставлю -c та же история.