Adhésion temporaire au groupe AD

12

Nous limitons le fonctionnement des exe à travers l'organisation. Mais sur la base de justifications et d'approbations, nous ajoutons des utilisateurs à des groupes AD (spécifiques) pendant 24 heures.

Actuellement, le processus de suppression des utilisateurs de ces groupes AD après X heures est manuel. J'essaie de l'automatiser d'une manière ou d'une autre. Mais je me demandais s'il y avait une façon native de gérer cela dans AD 2003. Est-ce que l'écriture d'un script (powershell / vbs) est la seule façon de gérer cela?

active-directory  groups 
Anoop
source

Réponses:

23

En supposant que tous vos contrôleurs de domaine sont Windows Server 2003 ou version ultérieure, vous pouvez le faire avec la fonctionnalité d' objets dynamiques d' Active Directory native sans aucun script.

Disons qu'un compte utilisateur, "Bob", doit être dans le groupe "Comptabilité" pendant 24 heures.

  • Créez un groupe "Bob dans la comptabilité 24 heures" et spécifiez un entry-TTLpendant 24 heures (la durée pendant laquelle vous souhaitez que le groupe reste dans Active Directory) au moment de la création.

  • Ajouter le "Bob in Accounting 24 Hours" en tant que membre du groupe "Accounting"

  • Ajoutez le compte d'utilisateur "Bob" en tant que membre du groupe "Bob in Accounting 24 Hours"

Lors de la prochaine ouverture de session du compte d'utilisateur "Bob", il sera membre du groupe "Comptabilité" via l'appartenance au groupe imbriqué du groupe "Bob in Accounting 24 Hours" dans le groupe "Comptabilité". Au bout de 24 heures, tous les contrôleurs de domaine récupèrent le groupe "Bob in Accounting 24 Hours" et "Bob" ne sera plus membre de "Accounting".

L'astuce est que les objets non dynamiques ne peuvent pas être convertis en dynamiques après leur création. Cependant, l'utilisation de l'imbrication de groupe vous permet de contourner cette limitation dans ce cas.

Vous devrez utiliser un outil autre que «Utilisateurs et ordinateurs Active Directory» pour créer le groupe, car vous devrez définir le entry-TTLau moment de la création du groupe. Le script de cette entrée de blog peut être un point de départ (il est conçu pour créer des objets utilisateur) ou, alternativement, vous pouvez simplement utiliser ldifdeou csvdefaire la création aussi.

Evan Anderson
source
5
Putain de merde, c'est quelque chose que je ne connaissais pas. Et il a 10 ans.
mfinni
1
@mfinni - Je ne l'ai jamais utilisé en production, jamais. Cependant, cela fonctionne exactement comme annoncé. Assez bien, hein?
Evan Anderson
6
MDMarra
2
@EvanAnderson Vous êtes un dur à cuire.
Ryan Ries
2
Vous êtes trop gentil. Il y a un très bon fond sur la fonctionnalité de ce blog ( ce gars est vraiment un dur à cuire AD - j'utilise beaucoup le produit): blogs.chrisse.se/2012/11/28/…
Evan Anderson
6

Vous pouvez gérer cela de plusieurs manières, aucune n'est native d'AD:

  1. Écrivez un script et placez-le dans le planificateur de tâches. Demandez-lui d'interroger un fichier texte ou CSV quelque part sur le réseau avec la liste actuelle. Demandez-lui de supprimer les personnes ne figurant pas sur cette liste au moment de l'exécution.

  2. Utilisez quelque chose comme System Center Orchestrator pour créer un runbook pour ajouter des utilisateurs au groupe et les supprimer automatiquement après X heures.

  3. Faites un rappel Outlook pour retirer les gens manuellement :)

MDMarra
source
1
FYI - Nous utilisons le serveur ActiveRoles de Quest pour aider à la gestion AD. Il a la capacité intégrée avec un petit outil de workflow ajouté pour vous aider.
uSlackr
Je pense que l'utilisation de l'option 1 et la création d'un script PowerShell planifié avec un fichier d'utilisateurs actuels est un bon moyen de résoudre ce problème.
jer.salamon
5
Vous ne pouvez pas résister au chant des sirènes des objets dynamiques ... Objets dynamiques!
Evan Anderson
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.