Можно ли в AD каким-либо образом связать учетную запись пользователя с учетной записью компьютера? Идея состоит в том, что я хочу написать программу для запроса AD для компьютеров, которыми владеет пользователь.
В AD Users & Computers вы найдете поле «Управляется» для каждого компьютерного объекта. Вы можете добавить в это поле учетную запись пользователя AD и использовать ее для идентификации владельца рабочей станции.
Насколько я понимаю, никаких дополнительных разрешений при добавлении пользователя в поле «Управляется» не предоставляется. Это просто для записи.
Другой способ, который я использовал, - стандартизировать поле «Описание», чтобы оно содержало согласованный набор информации. Например, в поле описания компьютера вы можете указать:
Настольный компьютер, Брисбен, Dell Optiplex 720, Фред Блоггс, 01.02.2007
Исходя из этого, анализ и извлечение местоположения, типа компьютера, модели, имени пользователя или даты покупки довольно просто. Вы также можете сделать так, чтобы ваш сценарий входа скопировал ту же информацию в поле описания компьютера ОС.
Еще один вариант - AD позволяет расширять и улучшать его схему, как и другие базы данных. Вы можете использовать это для добавить настраиваемые поля. Это немного сложнее, и вы рискуете нарушить правило сетевого администрирования «не нарушайте настройки по умолчанию, если у вас нет выбора».
Я предпочитаю использовать программное обеспечение для инвентаризации, которое автоматически связывает имена пользователей с именами компьютеров. Если бы мы сохраняли эту информацию в AD, это было бы еще одной проблемой, которую нужно обновлять вручную при каждой смене персонала или оборудования; зачем мне делать что-то вручную, если моя сеть сделает это за меня?
OCS Inventory NG это отличная альтернатива с открытым исходным кодом; если пользовательский интерфейс не подходит для конкретного поиска и вы знаете SQL, вы также можете напрямую запросить базу данных MySQL. Если вы настроите его так, чтобы каждая рабочая станция проверяла сервер при входе в систему, вы всегда будете знать, кто на каком компьютере (а) вошел в систему.
Не совсем хороший способ из того, что я помню, потому что пользователи могут входить в систему на нескольких машинах или несколько пользователей могут входить в систему на одной машине.
Предполагая, что это один на один (одна машина для одного пользователя) в меньшей или хорошо контролируемой среде, вы можете вместе взломать что-то подобное ...
В зависимости от того, сколько времени у вас есть до крайнего срока, у вас может быть сценарий входа в систему, который сообщит вам, кто входит в систему и на какой машине с помощью vbscript или пакетной обработки. Вы можете добавить эту информацию в плоский файл на общем сервере, а затем провести собственный анализ позже ...
образец сценария (не протестирован) echo "% USERNAME% на компьютере% SYSTEMNAME%" >> S: \ admins \ servermap.txt
Затем проанализируйте это позже с помощью некоторого vbscript, который просматривает файл и возвращает имя машины после имени пользователя ...
Или, если вы умен, вы можете сделать то же самое в сценарии входа в систему, но вместо этого записать имя машины в поле описания AD пользователя или в какое-либо другое поле, которое вы не используете, например, admod ... Для этого потребуется доступ администратора, хотя ...
admod -b dc = test, dc = net "описание ::% USERNAME% COMPUTER"
Это зависит от того, что вы имеете в виду под словом «владеет». Если вы имеете в виду станцию, на которую они входят каждый день, вы можете получить ее, проанализировав журналы событий безопасности контроллера домена и связав события входа / выхода с рабочими станциями. Или журналы событий безопасности самих рабочих станций, если вы хотите зайти так далеко.
События входа в систему на контроллерах домена показывают IP-адрес, с которого был выполнен вход, поэтому вам придется проанализировать логины учетной записи компьютера, чтобы сопоставить IP-адрес с именем машины. Запрос журналов рабочей станции лучше, так как это показывает только, кто вошел в систему на этой машине, хотя это означает, что вам нужно включить журнал безопасности; по умолчанию он выключен в XP, но включен по умолчанию в Vista и 7.
Нет, вы не можете этого сделать, потому что то, что называется подключением к машине / компьютеру Windows AD, на самом деле является только установкой Windows, но физические машины не идентифицируются Windows AD. Вы можете загрузить его:
Таким образом, DC не обнаружит физическое оборудование компьютера. Даже теоретически непонятно, что считать единицей физической безопасности.
Я пытался задать аналогичный вопрос в SF, но он был закрыт:
Надеюсь, судьба твоего вопроса будет другой
Я поддержал ваш вопрос, продолжайте!