Как теперь масштабируемо и надежно автоматизировать заполнение атрибутов RFC2307 и управление ими в Active Directory, когда SFU и IdMU считаются устаревшими Microsoft и не будут доступны в Server 2016.?
Моя цель - иметь uidNumber
, gidNumber
, unixHomeDirectory
и loginShell
автоматически устанавливается при создании пользователя или группы в Active Directory.
При добавлении пользователя в группу он также должен быть добавлен в memberUid
атрибут этой группы.
Я рассматривал возможность использования самодельных сценариев Powershell или VB, но они не кажутся очень масштабируемыми при использовании несколькими администраторами, обслуживающими тысячи пользователей в производственной системе с высокими требованиями к надежности.
Я чувствую, что это должна быть общая проблема и что должны быть хорошие решения, но я не могу их найти.
По моему опыту, я видел это двумя способами.
Я не буду публиковать рекомендации по варианту 1, потому что это противоречит правилам сайта, и я уверен, что вы можете сделать это самостоятельно. исследовательская работа на том. Но позвольте мне описать, как мы делаем это в моей текущей среде с помощью самописных инструментов.
Основная предпосылка заключается в том, что вы должны прекратить создавать учетные записи вручную и позволить вашим инструментам делать всю работу за вас. В частности, с помощью инструментов, которые вы пишете, вы можете жестко кодировать и обеспечивать соблюдение бизнес-правил в отношении вашей конкретной среды (расположение пользователей, форматы имен, автоматическое членство в группах и т. Д.), О которых другие инструменты, возможно, не могут знать. Это имеет побочный эффект, делая ваши инструменты намного проще в использовании. И чем меньше у вас людей, создающих пользователей вручную из ADUC, тем более согласованной и надежной становится ваша среда.
В нашей среде все новые идентификаторы, связанные с людьми, автоматически предоставляются (и деинициализируются) вышестоящей системой, принадлежащей персоналу. Но это касается только основных метаданных, связанных с глобальным списком адресов (имя, адрес электронной почты, телефон и т. Д.). У нас также есть сценарий PowerShell, работающий на контроллере домена эмулятора PDC, который запускается каждые 5 минут в поисках учетных записей с неполными профилями RFC2307 и обновляет их по мере необходимости. Он также обновляет GID для определенных подмножеств групп. UID и GID генерируются на основе алгоритма, который вычисляет их из SID учетной записи. Система управления персоналом могла бы также предоставить профили RFC2307, но в то время было меньше работы, чтобы группа AD владела этими данными / процессом.
Кроме того, у нас есть домашняя веб-страница для предоставления учетных записей «не для людей», таких как учетные записи служб, общие учетные записи, тестовые учетные записи и т. Д. Каждый тип учетной записи автоматически настраивается с соответствующими атрибутами RFC2307 в дополнение к таким вещам, как детализированные политики паролей. , соглашения о формате имени пользователя и т. д.
В конце концов, AD - это просто гигантский сервер LDAP, и есть много способов программного взаимодействия с ним.