Я работаю с MSP, и мы хотели бы реализовать что-то для того, чтобы каждого пользователя в нашей организации можно было легко добавить в несколько разных доменов, которые не обязательно находятся в одном лесу.
Позвольте мне привести Вам пример
Скажем, новый пользователь, Джон Доу, присоединяется к нашей компании. Очевидно, мы не хотим, чтобы все знали пароль администратора домена, поэтому мы создаем ему имя пользователя, скажем, adminjd, с компанией, с которой он должен работать, XYZ, однако мы управляем МНОГИМИ клиентов, поэтому у него должна быть учетная запись не только в XYZ, но и в ABC, 123, ACME и т.д. Не хорошо. Проблема усугубляется еще больше, если, скажем, у нас не очень дружеский разрыв с г-ном Доу, и мы хотим удалить его учетные записи. Мы можем сделать это легко и быстро с Solarwinds NCM для Cisco / Juniper / Etc. устройств, но у нас нет отличного решения для Active Directory / LDAP, платного или другого.
Также было бы неплохо отслеживать события и другую соответствующую информацию Active Directory, но основная функция указана выше.
У кого-нибудь есть опыт работы с таким софтом? Может кто порекомендует?
Мы уже много лет используем Novell Identity Manager в нашей среде и очень довольны результатами. Он предоставляет произвольное количество доменов Active Directory, а также eDirectory, различные решения для электронной почты, базы данных и т. Д. И очень гибок в том, как его развертывать. Из-за объема продукта он может быть довольно сложным, но, по сути, он будет обрабатывать все задачи по предоставлению пользователей и ресурсов, которые вы ему задаете (и вы можете ограничить его объем для простых нестандартных развертываний). Стабильность и масштабируемость после первоначальной настройки превосходны.
Я рекомендую решение для написания сценариев. (Это мой лучший молоток, поэтому все выглядит как гвоздь ...) В этом случае со сценариями Active Directory Perl делает это намного проще, чем в VBScript (два моих самых сильных языка), потому что вам нужно явно привязать к каждому домену в Perl (где в VBScript используется контекст учетной записи, от имени которой запускается скрипт). Я обычно использую NET::LDAP модуль.
Я бы либо настроил сценарий на прием аргументов командной строки, либо представил бы список вопросов и ответов (полное имя, имя пользователя, пароль, администратор домена? И т. Д.). Вы также попросите свое собственное имя пользователя и пароль для доменов. (Это будет проще, если вы используете (небезопасную) практику совпадения всех паролей в доменах, но вы можете настроить ее так, чтобы она запрашивала каждый запуск.)
Затем определите массив доменов вашего клиента. В for цикл, привязка к каждому домену, создание учетной записи в каждом (установка групп и паролей), а затем переход к следующему домену. Промыть. Повторение.
Попробуйте ManageEngine ADManager Plus для подготовки учетных записей пользователей в Active Directory в нескольких доменах. Для отслеживания действий пользователя разверните ManageEngine ADAudit Plus.
AuthAnvil, делай что хочешь. Я им не пользуюсь, но много о нем слышал. Вам даже не нужно создавать учетные записи в каждой системе.
Ян