Назад | Перейти на главную страницу

Как автоматизировать атрибуты RFC2307 в Active Directory?

Как теперь масштабируемо и надежно автоматизировать заполнение атрибутов RFC2307 и управление ими в Active Directory, когда SFU и IdMU считаются устаревшими Microsoft и не будут доступны в Server 2016.?

Моя цель - иметь uidNumber, gidNumber, unixHomeDirectory и loginShell автоматически устанавливается при создании пользователя или группы в Active Directory.

При добавлении пользователя в группу он также должен быть добавлен в memberUid атрибут этой группы.

Я рассматривал возможность использования самодельных сценариев Powershell или VB, но они не кажутся очень масштабируемыми при использовании несколькими администраторами, обслуживающими тысячи пользователей в производственной системе с высокими требованиями к надежности.

Я чувствую, что это должна быть общая проблема и что должны быть хорошие решения, но я не могу их найти.

По моему опыту, я видел это двумя способами.

  1. Приобретите решение, которое делает то, что вам нужно, из коробки и становится вашим решением для управления идентификацией поверх AD.
  2. Напишите свой.

Я не буду публиковать рекомендации по варианту 1, потому что это противоречит правилам сайта, и я уверен, что вы можете сделать это самостоятельно. исследовательская работа на том. Но позвольте мне описать, как мы делаем это в моей текущей среде с помощью самописных инструментов.

Основная предпосылка заключается в том, что вы должны прекратить создавать учетные записи вручную и позволить вашим инструментам делать всю работу за вас. В частности, с помощью инструментов, которые вы пишете, вы можете жестко кодировать и обеспечивать соблюдение бизнес-правил в отношении вашей конкретной среды (расположение пользователей, форматы имен, автоматическое членство в группах и т. Д.), О которых другие инструменты, возможно, не могут знать. Это имеет побочный эффект, делая ваши инструменты намного проще в использовании. И чем меньше у вас людей, создающих пользователей вручную из ADUC, тем более согласованной и надежной становится ваша среда.

В нашей среде все новые идентификаторы, связанные с людьми, автоматически предоставляются (и деинициализируются) вышестоящей системой, принадлежащей персоналу. Но это касается только основных метаданных, связанных с глобальным списком адресов (имя, адрес электронной почты, телефон и т. Д.). У нас также есть сценарий PowerShell, работающий на контроллере домена эмулятора PDC, который запускается каждые 5 минут в поисках учетных записей с неполными профилями RFC2307 и обновляет их по мере необходимости. Он также обновляет GID для определенных подмножеств групп. UID и GID генерируются на основе алгоритма, который вычисляет их из SID учетной записи. Система управления персоналом могла бы также предоставить профили RFC2307, но в то время было меньше работы, чтобы группа AD владела этими данными / процессом.

Кроме того, у нас есть домашняя веб-страница для предоставления учетных записей «не для людей», таких как учетные записи служб, общие учетные записи, тестовые учетные записи и т. Д. Каждый тип учетной записи автоматически настраивается с соответствующими атрибутами RFC2307 в дополнение к таким вещам, как детализированные политики паролей. , соглашения о формате имени пользователя и т. д.

В конце концов, AD - это просто гигантский сервер LDAP, и есть много способов программного взаимодействия с ним.