Iscrizione temporanea al gruppo AD

12

Limitiamo la gestione di exe all'interno dell'organizzazione. Ma sulla base di giustificazioni e approvazioni aggiungiamo utenti a (specifici) gruppi AD per 24 ore.

Attualmente il processo di rimozione degli utenti da quei gruppi AD dopo X ore è manuale. Sto cercando di automatizzarlo in qualche modo. Ma mi chiedevo se esiste un modo nativo di gestirlo in AD 2003. Scrivere uno script (powershell / vbs) è l'unico modo per gestirlo?

active-directory  groups 
Anoop
fonte

Risposte:

23

Supponendo che tutti i controller di dominio siano Windows Server 2003 o versione successiva, è possibile farlo con la funzionalità di oggetti dinamici di Active Directory nativa senza script.

Diciamo che un account utente, "Bob", deve essere nel gruppo "Contabilità" per 24 ore.

  • Creare un gruppo "Bob in Contabilità 24 ore" e specificare un gruppo entry-TTLper 24 ore (la durata in cui si desidera che il gruppo rimanga in Active Directory) al momento della creazione.

  • Aggiungi il "Bob in Accounting 24 Hours" come membro del gruppo "Accounting"

  • Aggiungi l'account utente "Bob" come membro del gruppo "Bob in Contabilità 24 ore"

Al successivo accesso dell'account utente "Bob", sarà un membro del gruppo "Accounting" tramite l'appartenenza al gruppo nidificato del gruppo "Bob in Accounting 24 Hours" nel gruppo "Accounting". Alla fine delle 24 ore tutti i controller di dominio raccoglieranno il gruppo "Bob in Accounting 24 Hours" e "Bob" non sarà più membro di "Accounting".

Il trucco è che gli oggetti non dinamici non possono essere convertiti in dinamici dopo la loro creazione. L'uso della nidificazione di gruppo, tuttavia, ti consente di aggirare quella limitazione in questa istanza.

È necessario utilizzare uno strumento diverso da "Utenti e computer di Active Directory" per creare il gruppo poiché è necessario impostare entry-TTLal momento della creazione del gruppo. Lo script in questo post di blog potrebbe essere un punto di partenza (è stato creato per creare oggetti utente) o, in alternativa, potresti semplicemente usare ldifdeo csvdeanche fare la creazione.

Evan Anderson
fonte
5
Santa merda, questo è qualcosa che non sapevo. Ed ha 10 anni.
mfinni,
1
@mfinni - Non l'ho mai usato in produzione, mai. Funziona esattamente come pubblicizzato, però. Abbastanza pulito, eh?
Evan Anderson,
6
MDMarra
2
@EvanAnderson Sei un tosto.
Ryan Ries,
2
Sei troppo gentile. C'è un ottimo background sulla funzionalità di questo blog ( questo ragazzo è davvero un tosto AD - Uso solo molto il prodotto): blogs.chrisse.se/2012/11/28/…
Evan Anderson
6

Puoi gestirlo in alcuni modi, nessuno è nativo di AD:

  1. Scrivi uno script e inseriscilo nell'utilità di pianificazione. Chiedere a un file di testo o CSV da qualche parte sulla rete con l'elenco corrente. Rimozione di persone non presenti nell'elenco in fase di esecuzione.

  2. Utilizzare qualcosa come System Center Orchestrator per creare un runbook per aggiungere utenti al gruppo e rimuoverli automaticamente dopo X ore.

  3. Crea un promemoria per Outlook per portare le persone manualmente :)

MDMarra
fonte
1
Cordiali saluti - Utilizziamo il server ActiveRoles di Quest per aiutare con la gestione di annunci pubblicitari. Ha la capacità integrata insieme a un piccolo strumento di flusso di lavoro aggiunto per aiutare.
uSlackr
Penso che usare l'opzione 1 e creare uno script PowerShell pianificato con un file di utenti attuali sia un buon modo per risolvere questo problema.
jer.salamon,
5
Non puoi resistere al canto della sirena di oggetti dinamici ... Oggetti dinamici!
Evan Anderson,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.