У нас есть проблема на нашем предприятии, где у нас есть как минимум несколько разных мест хранения информации о сотрудниках. Мы стараемся объединить все это в максимально возможной степени, чтобы было одно место, где можно найти / отредактировать информацию о сотрудниках, такую как имя, адрес и номер телефона.
Поскольку более 90% сотрудников имеют учетные записи в Active Directory, мы думаем, что AD - хорошее место, чтобы сделать основной источник информации - получать оттуда / вносить изменения.
Остальные будут обновляться / извлекаться из второй системы управления персоналом (однако система управления персоналом ограничена и не удобна для пользователя, чтобы MIS или другой персонал, не относящийся к персоналу, мог входить и выходить и вносить правки на регулярной основе). Это сотрудники, работающие на краткосрочной основе, и, скорее всего, не стоит постоянно редактировать их в MIS.
Итак, я ищу предложения о том, как разрешить определенным ключевым пользователям (например, конкретным менеджерам или персоналу отдела кадров) получить доступ к какой-либо утилите или интерфейсу для редактирования пользователей активного каталога (или, возможно, даже добавить их, если это возможно).
Однако я, конечно, не хочу, чтобы кто-либо из сотрудников, не относящихся к MIS, мог редактировать информацию о доступе, такую как членство в группах. Они должны иметь возможность редактировать только личную информацию, такую как имя, адрес, телефоны и т. Д.
Одна из возможностей, которую я рассматриваю, - это SpiceWorks - я уже использую его и синхронизирую с AD. Я знаю, что у него есть возможность записывать изменения обратно в AD, так что, возможно, это сработает. Кто-нибудь еще использует SpiceWorks или любую другую утилиту для этого (или есть другие предложения)?
Если вы хотите делегировать Modify или write к определенным атрибутам. Это можно сделать с помощью мастера делегирования Active Directory. Вы должны создать группу для HR и делегировать им соответствующие разрешения. Затем они смогут редактировать информацию с помощью ADUC, или вы можете написать собственный веб-интерфейс, что не так уж и сложно, если вы по какой-то причине не хотите, чтобы они использовали ADUC.
Ну, серьезно - тот, кто считает AD хорошей исходной базой данных для управления вашей центральной кадровой информацией, должен получить рекомендацию ... чтобы работать на вашего конкурента (он же уволить его).
Это слишком низкий технический уровень, чтобы быть логической главной системой со стороны бизнеса.
Я думаю, что подход хорош - вы закончите допинг тоннами настройки с небольшой прибылью. AD очень техничен, вам нужно логическое приложение более высокого уровня.