Associação temporária ao grupo AD

12

Restringimos a execução de exe em toda a organização. Mas, com base em justificativas e aprovações, adicionamos usuários a grupos de anúncios (específicos) por 24 horas.

Atualmente, o processo de remoção dos usuários desses grupos do AD após X horas é manual. Estou tentando automatizá-lo de alguma forma. Mas eu queria saber se existe alguma maneira nativa de lidar com isso no AD 2003. Escrever um script (powershell / vbs) é a única maneira de lidar com isso?

active-directory  groups 
Anoop
fonte

Respostas:

23

Supondo que todos os seus controladores de domínio sejam o Windows Server 2003 ou posterior, você pode fazer isso com a funcionalidade de objetos dinâmicos nativos do Active Directory sem nenhum script.

Digamos que uma conta de usuário, "Bob", precise estar no grupo "Contabilidade" por 24 horas.

  • Crie um grupo "Bob na contabilidade 24 horas" e especifique um entry-TTLpor 24 horas (a duração que você deseja que o grupo permaneça no Active Directory) no momento da criação.

  • Adicione o "Bob na contabilidade 24 horas" como membro do grupo "Contabilidade"

  • Adicione a conta de usuário "Bob" como membro do grupo "Bob na contabilidade 24 horas"

No próximo logon da conta de usuário "Bob", ele será membro do grupo "Contabilidade" por meio da associação aninhada do grupo "Bob na contabilidade 24 horas" no grupo "Contabilidade". No final de 24 horas, todos os controladores de domínio coletarão lixo o grupo "Bob na contabilidade 24 horas" e "Bob" não será mais um membro da "Contabilidade".

O truque é que objetos não dinâmicos não podem ser convertidos em dinâmicos após sua criação. O uso do agrupamento de grupos, no entanto, evita essa limitação nesse caso.

Você precisará usar uma ferramenta diferente de "Usuários e Computadores do Active Directory" para criar o grupo, pois precisará definir entry-TTLo horário no momento da criação do grupo. O script nesta entrada de blog pode ser um ponto de partida (criado para criar objetos de usuário) ou, alternativamente, você pode apenas usar ldifdeou csvdefazer a criação também.

Evan Anderson
fonte
5
Caramba, isso é algo que eu não sabia. E tem 10 anos.
mfinni
1
@finfin - Eu nunca o usei na produção, nunca. Porém, funciona exatamente como anunciado. Bem arrumado, não é?
Evan Anderson
6
MDMarra
2
@EvanAnderson Você é um durão.
perfil completo de Ryan Ries
2
Você é muito gentil. Há alguns realmente boa base sobre o recurso neste blog ( este cara é realmente um AD badass-- eu só uso o produto muito): blogs.chrisse.se/2012/11/28/...
Evan Anderson
6

Você pode lidar com isso de algumas maneiras, nenhuma é nativa do AD:

  1. Escreva um script e coloque-o no agendador de tarefas. Faça com que ele consulte um arquivo de texto ou CSV em algum lugar da rede com a lista atual. Peça para remover pessoas que não estão nessa lista em tempo de execução.

  2. Use algo como o System Center Orchestrator para criar um runbook para adicionar usuários ao grupo e removê-los após X horas automaticamente.

  3. Faça um lembrete do Outlook para levar as pessoas manualmente :)

MDMarra
fonte
1
FYI - Usamos o servidor ActiveRoles da Quest para ajudar no gerenciamento do AD. Ele possui o recurso incorporado, além de uma pequena ferramenta de fluxo de trabalho adicionada para ajudar.
uSlackr
Acho que usar a opção 1 e criar um script agendado do PowerShell com um arquivo de usuários atuais é uma boa maneira de resolver isso.
precisa saber é o seguinte
5
Você não pode resistir à música de sirene de objetos dinâmicos ... Objetos dinâmicos!
Evan Anderson
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.