Есть ли способ добавить пользователя в группу Active Directory после первой успешной синхронизации через ActiveSync?
Не могу быть слишком уверенным в ответе, но, насколько мне известно, websense не может автоматически добавлять / удалять пользователей из групп каталогов, поскольку это контролируется исключительно в самом каталоге. Я еще не на 100% с V7, но с V6.xx, если пользователь не является членом группы, политика по умолчанию применяется автоматически, поэтому, если вы хотите изменить стандартную политику, которая применяется ко всем пользователям (если в другой группе политик ), а затем просто измените политику по умолчанию. Пожалуйста, перейдите по этой ссылке, надеясь, что вы получите свой ответ.
Не «автоматически», а сценарий PowerShell или аналогичная запланированная задача может запросить объекты objectCategory = person, которые являются пользователями Exchange (например, homeMDB = *) и имеют дочерние объекты, расположенные в ExchangeActiveSyncDevices, а затем обновить членство в группе рассылки с результатами.
Объекты с родительским DN, который включает объект пользователя и дочерний CN = ExchangeActiveSyncDevices, являются достаточно точным индикатором устройства ActiveSync.
Объектной категорией будет msExchActiveSyncDevice.
Вы также можете уточнить запрос, указав, что атрибут whenChanged является недавним. Устаревшие устройства обычно остаются в AD и не удаляются.
Вот пример вывода ldifde устройства ActiveSync:
dn: CN=iPhone5§3939303030323037383031353037,CN=ExchangeActiveSyncDevices,CN=jSmith,OU=Users,OU=HQ,DC=acme,DC=com
changetype: add
objectClass: top
objectClass: msExchActiveSyncDevice
cn:: aVlkjb25llkjnMzkzOTMlkjMDMyMzAzNzM4MzAzMTM1MzAzNw==
distinguishedName::
Q049alk25lNcKnMzkzOTMwMzAzMDMyMzAzNzM4MzAzMTM1MzAzNyxDTj1FeGNoYW5nZUFjdGl2ZV
N5bmNEZXZpYlkjNOPWdhc2tlMlkjLE9VPVVzZXJzLE9VPUhEUVJLLERDPW1paGRxLERDPW1hcnJj
b3JwLERDPW1hcnJpb3R0LERDPWNvbQ==
instanceType: 4
whenCreated: 20121204031102.0Z
whenChanged: 20121206035828.0Z
uSNCreated: 64647685
uSNChanged: 64888478
name:: aVBokjrweNcKnMzkzOTMwhjgdfAzMDMyMzAzNzM4MzAzMTM1MzAzNw==
objectGUID:: odtO+OEUg0aae4kVkQOjRg==
systemFlags: 1073741824
objectCategory: CN=ms-Exch-Active-Sync-Device,CN=Schema,CN=Configuration,DC=acme,DC=com
dSCorePropagationData: 16010101000000.0Z
msExchDeviceAccessState: 1
msExchDeviceFriendlyName: Android_hq_jSmith
msExchUserDisplayName: acme.com/HQ/Users/jSmith
msExchDeviceEASVersion: 14.1
msExchDeviceOS: Android 4.1.1
msExchDeviceType: iPhone5
msExchDeviceID: 3939303030323037383031353037
msExchDeviceModel: SCH-I605
msExchFirstSyncTime: 20121204031102.0Z
msExchDeviceUserAgent: TouchDown(MSRPC)/7.3.00052/
msExchDeviceTelephoneNumber: ******7887
msExchDeviceOSLanguage: English
msExchDeviceAccessStateReason: 1
msExchVersion: 44220983382016
msExchDeviceIMEI: 99000207801507
Я не уверен на 100%, что это сработает или нет, но вам придется подходить к этому с одного из двух направлений.
- Active Directory
Теоретически вы можете создать собственный фильтр AD, который срабатывает при выполнении определенного условия. Например, многие люди запускают фильтры смены пароля, чтобы фиксировать пароль и время его изменения. Вы можете создать фильтр входа в систему, а затем попытаться расшифровать дополнительную информацию, которая предоставляется, чтобы затем выполнить некоторую другую логику для добавления пользователя в группу.
Не совсем уверен, что это будет легко или даже выполнимо
- Обмен
Пусть Exchange обработает эту логику. Создайте надстройку к Exchange, которая обрабатывает соединение ActiveSync и затем выполняет ту же логику, что и выше, для добавления пользователя в группу.
Очевидно, что это все теоретически и может работать или не работать должным образом, это, безусловно, будет индивидуальное решение.