Кто-нибудь использует AD в качестве каталога общего назначения (имеется в виду для других целей, кроме аутентификации / авторизации домена и прочего)?
Я работал в большой (более 100 тыс. Пользователей) среде, в которой AD использовался для хранения значительного количества общей информации о сотрудниках - помимо обычной электронной почты и имен пользователей \ отделов, у нас также было несколько номеров телефонов, физическое местоположение офиса ( вплоть до расположения офиса в здании), организационная иерархия (кто на кого работал), номер сотрудника, эскиз фотографии, нормальный часовой пояс, дата начала и множество других вещей, которые я сейчас не могу вспомнить.
По общему признанию, у нас был довольно хороший внутренний набор API с контролируемым доступом (и некоторый процесс авторизации, связанный с утверждением доступа к ним), который позволял нам контролировать делегирование прав на обновление определенных свойств AD для каждого пользователя / группы, так что это было Легко привязать обновления этих свойств AD к приложениям HR, где и обрабатывались данные такого рода.
Как пользователь в большой организации я обнаружил, что наличие такой информации было действительно полезно, и возможность получать такие данные с помощью простого запроса LDAP в моих собственных приложениях без необходимости перепрыгивать через обручи, чтобы получить доступ к базам данных HR. тоже был очень полезен.
Если вы используете Exchange, это может быть полезно, позволяя людям искать других в глобальной адресной книге, особенно для крупных организаций. Если вы не используете Exchange, вероятно, от этого не будет особой пользы без специального программирования.
При этом, как небольшая организация, мы использовали Exchange, продолжали запускать AD и никогда не помещали в него информацию, не связанную с входом в систему, за исключением полного имени и, в некоторых случаях, аффилированности отдела.
Я должен добавить, что самым большим препятствием на пути к этому является то, что обновление AD является функцией ИТ, и во многих организациях нет хорошего процесса для получения той информации, которая могла бы заполнять каталог общего назначения, например, из отдела кадров в ИТ. - часто безопасность или необходимые разрешения являются приоритетом ИТ для новых сотрудников и обновлений.
Мы используем информацию о телефоне, информацию об организации (полученную из нашей системы управления персоналом) и несколько атрибутов extensionAttributes для разного. прочее. Информация об организации бесценна с точки зрения ИТ, поскольку вы можете быстро увидеть, с кем имеете дело, или связаться с группами, а не с отдельными лицами. Информацию о телефоне можно запросить с помощью простого веб-интерфейса. Пользователи также привыкли видеть довольно много информации через Outlook. О, организационная информация также используется для динамического заполнения некоторых глобальных групп в зависимости от того, в каком отделе вы находитесь. Эти группы затем используются для обеспечения доступа на основе отдела. Короче говоря, AD - хорошее место для хранения подобных вещей.
Я видел, как он использовался в среде для наблюдения за тем, когда определенные компьютеры использовались как своего рода система мониторинга сотрудников, но это не имеет такого большого смысла, как использование вместе с ним LDAP.
Мы используем его как каталог общего назначения для работы с Exchange, однако мы по-прежнему используем его с аутентификацией пользователя по соображениям безопасности. Если бы это были только сотрудники внутреннего офиса, нам бы это не понадобилось.