Мы ограничиваем использование исполняемых файлов в организации. Но на основании обоснований и одобрений мы добавляем пользователей в (определенные) группы AD на 24 часа.
В настоящее время процесс удаления пользователей из этих групп AD через X часов выполняется вручную. Я пытаюсь как-то автоматизировать это. Но мне было интересно, есть ли какой-либо собственный способ справиться с этим в AD 2003. Является ли написание сценария (powershell / vbs) единственным способом справиться с этим?
Предполагая, что все ваши контроллеры домена являются Windows Server 2003 или более поздней версии, вы жестяная банка сделайте это с помощью собственного Active Directory динамические объекты функциональность без скриптов.
Предположим, что учетная запись пользователя «Боб» должна находиться в группе «Бухгалтерия» в течение 24 часов.
Создайте группу «Боб в бухгалтерии 24 часа» и укажите entry-TTL
в течение 24 часов (время, в течение которого группа должна оставаться в Active Directory) на момент создания.
Добавьте «Боба в бухгалтерию 24 часа» в качестве члена группы «Бухгалтерский учет».
Добавьте учетную запись пользователя "Боб" в группу "Боб в бухгалтерии 24 часа".
При следующем входе учетной записи пользователя «Боб» он станет членом группы «Учет» через членство во вложенной группе группы «Боб в бухгалтерии 24 часа» в группу «Учет». По истечении 24 часов все контроллеры домена соберут мусор для группы «Боб в бухгалтерии за 24 часа», и «Боб» перестанет быть участником «Бухгалтерии».
Хитрость в том, что нединамические объекты нельзя преобразовать в динамические после их создания. Однако в данном случае использование группового вложения позволяет обойти это ограничение.
Для создания группы вам понадобится другой инструмент, кроме «Active Directory - пользователи и компьютеры», поскольку вам нужно будет установить entry-TTL
на момент создания группы. В скрипт в этой записи блога может быть отправной точкой (он создан для создания объектов User) или, в качестве альтернативы, вы можете просто использовать ldifde
или csvde
тоже делать творение.
Вы можете справиться с этим несколькими способами, ни один из них не является родным для AD:
Напишите сценарий и поместите его в планировщик задач. Попросите его запросить текстовый файл или CSV где-нибудь в сети с текущим списком. Удалите людей, которых нет в этом списке, во время выполнения.
Используйте что-то вроде System Center Orchestrator, чтобы создать модуль Runbook, чтобы добавлять пользователей в группу и автоматически удалять их через X часов.
Сделайте напоминание Outlook, чтобы вывести людей вручную :)