Я учусь на ходу, но меня всегда интересовала одна вещь: в более крупных корпорациях ИТ-отдел вводит всех новых сотрудников в активную директорию / создает почтовый ящик для обмена или существует установка, которая позволяет сотрудникам отдела кадров / менеджерам добавлять новых сотрудники?
Полагаю, я мог бы разработать что-то, где они вводят информацию о людях и распространяют ее на все необходимые системы - но мне было интересно, есть ли встроенный метод - или это просто то, чем занимается ИТ-отдел?
Редактировать дополнение:
В настоящее время я получаю копию информации о новых сотрудниках, помещаю ее во все системы (активный каталог, время и посещаемость, обмен и т. Д.), А затем возвращаю информацию.
Ищу лучший способ для этого. В настоящее время мы используем следующие системы:
Active Directory, Microsoft Exchange, QQest time and Attendance и MySQL, а затем системы защиты mcafee SAS.
QQest имеет интеграцию с активными каталогами, но даже работая с ними, мне никогда не удавалось заставить его полностью функционировать должным образом.
McAfee SAS только что выпустила функцию интеграции с активным каталогом, но я слышал, что в ней все еще есть ошибки, и я жду версию обновления, прежде чем пытаться реализовать.
Я планирую использовать активный каталог в качестве информации для входа в базу данных mysql, в настоящее время мы пишем новую версию системы для использования с ней, но когда-нибудь она будет завершена.
Спасибо.
Конечно, можно делегировать ограниченный набор привилегий для управления пользовательскими объектами. Я работаю у поставщика образовательных услуг, и на одном из наших отделов работает много студентов, которые присутствуют только пару недель, и они постоянно приходят и уходят. Нам было бы больно управлять счетами за них. Поэтому мы делегировали привилегии одному из сотрудников этой программы.
Мы не решили этого не делать, но мы инвестировали в интеграцию нашей системы расчета заработной платы непосредственно в AD через SIF. Должна быть предусмотрена возможность автоматического создания учетных записей. Для этого существует все программное обеспечение, но, поскольку мы не являемся традиционной школой, оно не совсем соответствовало нашим требованиям.
Если вы все же решите делегировать это, вам может потребоваться оценить свои требования к безопасности. Возможно, вы можете позволить HR создавать учетные записи, но не разрешать им изменять членство в группе. Таким образом, требуется какой-то запрос к кому-то, чтобы дважды проверить, что запрашиваемые привилегии действительны для этого человека.
В одном из моих развертываний AD задействованы сотни иностранных сотрудников и множество проектов. Один из продуктов, с которым мы работаем, также требовал отдельного входа в систему, как вы описали.
Мне не удалось найти единый способ разрешить доступ ко второму продукту. В конце концов, я пошел на их интеграцию с AD, как она есть.
Делегирование разрешений сотрудникам за пределами IS стало окончательным бизнес-требованием. В конце концов, у нас было несколько уровней делегированного доступа - один, который позволяет пользователям, не являющимся ИБ, создавать проекты и выполнять общие задачи управления AD (ограничивается одной ветвью AD), а другой - для управления пользователями, включая новых пользователей, членство в группах и сброс пароля.
Самая большая вещь, которую я обнаружил, - это то, что также необходимо установить разрешения для ваших групп. При правильной настройке ваши делегированные пользователи смогут перемещать пользователей между общими группами без возможности выполнять атаки с повышением привилегий.
Там, где я был, это задача, которую выполняет системный администратор с использованием информации, предоставленной отделом кадров через систему заказов на работу или тикетов.
Я настроил Сервер активных ролей для службы поддержки, которую я поддерживал, которую вы могли бы использовать для того, что пытаетесь сделать, но вам нужно будет решить, оправданы ли усилия на основе вашей пользовательской базы.