Использование групп безопасности Active Directory в качестве иерархических тегов

Поскольку группы безопасности Active Directory могут ...

удерживать объекты независимо от OU.
использоваться для отчетности, документации, инвентаризации и т. д.
ссылаться на автоматизированные процессы (Get-QADGroupMember).
быть используется для применения политики
быть используется WSUS

Я хотел бы использовать группы безопасности как иерархические теги, представляющие различные атрибуты компьютера или пользователя. Я думаю о (компьютерно-ориентированных) тегах примерно так:

/tag/vendor/vendorName
/tag/system/overallSystemName
/tag/application/vendorsApplicationName
/tag/dependantOn/computerName
/tag/department/departmentName
/tag/updates/Group1

Прежде чем приступить к реализации этого, я подумал, что попрошу комментариев от сообщества. Конкретно в областях:

Имеет ли это смысл?
Это сработает?
Кто-нибудь еще пытался это сделать?
Есть ли хороший справочник по этому вопросу, который я должен прочитать?
Как лучше реализовать иерархию?
- Tag_OU \ Type_OU \ GroupName (ограничивает количество в OU, уникальность не гарантируется)
- Tag_OU \ Type_OU \ Tag-Type-GroupName (ограничивает количество в OU, уникальность гарантирована, подробный)
и т.д ...

Заранее спасибо!

Я понимаю, что вы пытаетесь сделать, и это имеет смысл, но что-то в этом мне кажется немного странным. Похоже, что подготовка пользователей и компьютеров может стать очень трудоемкой и сложной.

Некоторые из ваших тегов выглядят как предметы инвентаря. Интересно, нет ли лучшего решения для этого, возможно, рекомендуется сценарий WMI, такой как sysadmin1138.

Меня также интересует влияние времени входа в систему на пользователей, если они сейчас находятся в 15-20 группах.

В целом, это хорошая идея, я просто не уверен, что это способ получить то, что вы ищете.

На самом деле мы делаем то же самое для пользователей. Наша база данных ERP выдает списки «Допущенных к учетным записям», которые наши процедуры управления идентификацией превращают в новые / удаленные учетные записи. В эти же списки входят переменные, которые позволяют нам автоматически создавать группы в зависимости от типа сотрудников, а также, поскольку мы являемся университетом, основными группами и группами зачисленных классов. Последние два очень полезны для установки разрешений на такие вещи, как совместное использование файлов в классе.

Одна из ключевых вещей, которые мы обнаружили, заключается в том, что соглашение об именовании групп должно быть таким, чтобы ОЧЕВИДНО, что они были созданы группами, а не поддерживаемыми вручную. Это предотвращает ошибки.

Еще нужно помнить, что AD позволяет создавать группы вложенности, что ОЧЕНЬ удобно при настройке общего файлового хранилища, куда может попасть «любой, кто посещает курсы геологии»; есть группа, которая содержит группы классов всех классов GEOL. Это менее удобно, когда приложение или что-то еще не поддерживает вложенные группы (как в случае с VB-Script).

Выполнение этого с помощью компьютеров потребует больше усилий, поскольку вы не можете полагаться на свою систему IDM, которая сделает за вас тяжелую работу. Мы просто разбираем файлы CSV. Вам придется периодически проводить инвентаризацию всего вашего оборудования, чтобы создавать свое. Такого рода системы инвентаризации могут быть созданы с помощью сценария WMI, охватывающего все предприятие, сценария WMI, который запускается при запуске и сбрасывает конфигурацию в специальном месте для анализа и загрузки, или (для коммерческих продуктов) реального агента, который периодически проводит инвентаризацию и обновляет базу данных.