Thành viên tạm thời vào nhóm AD

12

Chúng tôi hạn chế hoạt động của exe trên toàn tổ chức. Nhưng dựa trên các biện minh và phê duyệt, chúng tôi thêm người dùng vào các nhóm AD (cụ thể) trong 24 giờ.

Hiện tại quá trình loại bỏ người dùng khỏi các nhóm AD đó sau X giờ là thủ công. Tôi đang cố gắng tự động hóa nó trong một số thời trang. Nhưng tôi đã tự hỏi nếu có bất kỳ cách xử lý riêng nào trong AD 2003. Viết một kịch bản (powershell / vbs) có phải là cách duy nhất để xử lý việc này không?

active-directory  groups 
Anoop
nguồn

Câu trả lời:

23

Giả sử tất cả các Bộ điều khiển miền của bạn là Windows Server 2003 trở lên, bạn có thể thực hiện việc này với chức năng đối tượng động của Active Directory mà không cần bất kỳ tập lệnh nào.

Giả sử tài khoản người dùng, "Bob", cần nằm trong nhóm "Kế toán" trong 24 giờ.

  • Tạo nhóm "Bob trong Kế toán 24 giờ" và chỉ định entry-TTLtrong 24 giờ (thời lượng bạn muốn nhóm vẫn ở trong Active Directory) tại thời điểm tạo.

  • Thêm "Bob trong kế toán 24 giờ" với tư cách là thành viên của nhóm "Kế toán"

  • Thêm tài khoản người dùng "Bob" làm thành viên của nhóm "Bob trong kế toán 24 giờ"

Sau lần đăng nhập tiếp theo của tài khoản người dùng "Bob", nó sẽ là thành viên của nhóm "Kế toán" thông qua thành viên nhóm lồng nhau của nhóm "Bob trong Kế toán 24 giờ" vào nhóm "Kế toán". Vào cuối 24 giờ, tất cả các bộ điều khiển miền sẽ thu gom rác nhóm "Bob trong Kế toán 24 giờ" và "Bob" sẽ không còn là thành viên của "Kế toán".

Bí quyết là các đối tượng không động có thể được chuyển đổi thành động sau khi tạo. Tuy nhiên, việc sử dụng lồng nhóm sẽ giúp bạn vượt qua giới hạn đó trong trường hợp này.

Bạn sẽ cần sử dụng một công cụ khác ngoài "Người dùng và máy tính Active Directory" để tạo nhóm vì bạn sẽ cần đặt entry-TTLthời điểm tạo nhóm. Tập lệnh trong mục nhập blog này có thể là nơi bắt đầu (được tạo để tạo đối tượng Người dùng) hoặc, thay vào đó, bạn chỉ có thể sử dụng ldifdehoặc csvdethực hiện việc tạo.

Evan Anderson
nguồn
5
Chúa ơi, đó là điều mà tôi không biết. Và nó 10 tuổi.
mfinni
1
@mfinni - Tôi chưa bao giờ sử dụng nó trong sản xuất. Nó hoạt động chính xác như quảng cáo, mặc dù. Khá gọn gàng nhỉ?
Evan Anderson
6
MDMarra
2
@EvanAnderson Bạn là một kẻ xấu.
Ryan Ries
2
Bạn thật tốt bụng Có một số nền tảng thực sự tốt về tính năng trong blog này ( anh chàng này thực sự là một kẻ xấu AD-- Tôi chỉ sử dụng sản phẩm rất nhiều): blog.chrisse.se/2012/11/11/iêu
Evan Anderson
6

Bạn có thể xử lý việc này theo một số cách, không cách nào có nguồn gốc từ AD:

  1. Viết một kịch bản và đặt nó trong lịch trình nhiệm vụ. Yêu cầu nó truy vấn tệp văn bản hoặc CSV ở đâu đó trên mạng với danh sách hiện tại. Có nó loại bỏ những người không có trong danh sách đó trong thời gian chạy.

  2. Sử dụng một cái gì đó như System Center Dàn nhạc để tạo một cuốn sổ tay để thêm người dùng vào nhóm và xóa chúng sau X giờ tự động.

  3. Tạo một lời nhắc Outlook để đưa mọi người ra một cách thủ công :)

MDMarra
nguồn
1
FYI - Chúng tôi sử dụng máy chủ ActiveRoles của Quest để hỗ trợ quản lý AD. Nó có khả năng được xây dựng cùng với một công cụ quy trình công việc nhỏ được thêm vào để hỗ trợ.
uSlackr
Tôi nghĩ rằng sử dụng tùy chọn 1 và tạo tập lệnh PowerShell được lên lịch với tệp của người dùng hiện tại là một cách tốt để giải quyết vấn đề này.
jer.salamon
5
Bạn không thể cưỡng lại bài hát tiếng còi của các đối tượng động ... Các đối tượng động!
Evan Anderson
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.