Keanggotaan sementara untuk grup AD

12

Kami membatasi jalannya exe di seluruh organisasi. Tetapi berdasarkan justifikasi & persetujuan, kami menambahkan pengguna ke grup AD (khusus) selama 24 jam.

Saat ini proses menghapus pengguna dari grup AD tersebut setelah jam X adalah manual. Saya mencoba mengotomatiskannya dengan beberapa cara. Tapi saya bertanya-tanya apakah ada cara asli untuk menangani ini dalam AD 2003. Apakah menulis skrip (PowerShell / VBS) satu-satunya cara menangani ini?

Anoop
sumber

Jawaban:

23

Dengan asumsi semua Pengontrol Domain Anda adalah Windows Server 2003 atau lebih baru Anda dapat melakukan ini dengan fungsionalitas objek dinamis direktori aktif asli tanpa skrip.

Katakanlah akun pengguna, "Bob", perlu berada di grup "Akuntansi" selama 24 jam.

  • Buat grup "Bob in Accounting 24 Hours" dan tentukan entry-TTLuntuk 24 jam (durasi yang Anda inginkan agar grup tetap di Active Directory) pada saat pembuatan.

  • Tambahkan "Bob in Accounting 24 Hours" sebagai anggota grup "Accounting"

  • Tambahkan akun pengguna "Bob" sebagai anggota grup "Bob in Accounting 24 Hours"

Setelah masuk berikutnya "Bob" akun pengguna itu akan menjadi anggota grup "Akuntansi" melalui keanggotaan grup bersarang dari grup "Bob dalam Akuntansi 24 Jam" ke dalam grup "Akuntansi". Pada akhir 24 jam, semua pengontrol domain akan mengumpulkan sampah grup "Bob in Accounting 24 Hours" dan "Bob" tidak akan lagi menjadi anggota "Accounting".

Kuncinya adalah bahwa objek non-dinamis tidak dapat dikonversi menjadi dinamis setelah dibuat. Namun, menggunakan sarang kelompok membuat Anda mengatasi batasan itu dalam contoh ini.

Anda harus menggunakan alat selain "Pengguna Direktori Aktif dan Komputer" untuk membuat grup karena Anda harus mengaturnya entry-TTLpada saat pembuatan grup. The Script dalam entri blog ini mungkin menjadi tempat yang mulai (itu dibangun untuk membuat Objek pengguna) atau sebaliknya, Anda hanya bisa menggunakan ldifdeatau csvdemelakukan penciptaan, juga.

Evan Anderson
sumber
5
Sial, itu adalah sesuatu yang tidak saya ketahui. Dan usianya 10 tahun.
mfinni
1
@mfinni - Saya tidak pernah menggunakannya dalam produksi, tidak pernah. Ini bekerja persis seperti yang diiklankan. Cukup rapi, eh?
Evan Anderson
2
@ EvanAnderson Anda seorang badass.
Ryan Ries
2
Anda terlalu baik. Ada beberapa latar belakang yang sangat baik pada fitur di blog ini ( orang ini benar-benar seorang badass AD-- Saya hanya menggunakan banyak produk): blogs.chrisse.se/2012/11/28/…
Evan Anderson
6

Anda dapat menangani ini beberapa cara, tidak ada yang asli untuk AD:

  1. Tulis skrip dan letakkan di penjadwal tugas. Mintalah file teks atau CSV di suatu tempat di jaringan dengan daftar saat ini. Apakah itu menghapus orang yang tidak ada dalam daftar saat runtime.

  2. Gunakan sesuatu seperti System Center Orchestrator untuk membuat runbook untuk menambahkan pengguna ke grup dan menghapusnya setelah X jam secara otomatis.

  3. Buat pengingat Outlook untuk mengeluarkan orang secara manual :)

MDMarra
sumber
1
FYI - Kami menggunakan server ActiveRoles Quest untuk membantu manajemen AD. Ini memiliki kemampuan yang dibangun bersama dengan alat alur kerja kecil yang ditambahkan untuk membantu.
uSlackr
Saya pikir menggunakan opsi 1 dan membuat skrip PowerShell terjadwal dengan file pengguna saat ini adalah cara yang baik untuk menyelesaikan ini.
jer.salamon
5
Anda tidak dapat menolak lagu sirene dari objek dinamis ... Objek dinamis!
Evan Anderson