В настоящее время я работаю над написанием сценариев для некоторых способов доступа на работе и хотел бы получить простой способ ввести и получить последние 4 номера социальной сети пользователя. Это основной способ идентифицировать людей, которые звонят. В настоящее время нам нужно войти в систему и выполнить поиск в нашем HR-приложении, которое довольно громоздко в использовании и увеличивает время разговора. Шансы на то, что я добьюсь одобрения и расширения схемы менеджментом / старшими инженерами, практически равны нулю. Я думал записать это число в атрибут employeeNumber, но не был уверен, что это приведет к каким-либо невидимым последствиям. Очевидно, кто-то из нашей старой службы поддержки начал вводить эту информацию во вкладку «телефоны» в AD, которую можно увидеть через глобальный каталог Outlook ... managmeent не был слишком доволен.
Это хорошая идея с тем, с чем мне приходится работать? или?...
Поле employeeNumber, которое не отображается через графический интерфейс, по-прежнему может быть запрошено любым, у кого есть доступ для чтения к AD, если я не ошибаюсь. Однако это может потребовать больше усилий, чем "Outlook".
Но, честно говоря ... это последние 4 SSN ... так что я думаю, что ваш подход, если руководство не возражает против этого, достаточно хорош.
Просто убедитесь, что вас не волнует фактический идентификационный номер сотрудника, который в будущем будет храниться там. Но да, это не что-то другое, если вы произвольно выберете номер для хранения.
Стандартная схема по умолчанию уже содержит атрибут employeeNumber и employeeID ...
Чтение атрибутов:
PS H:\> Get-ADUser jbob -Properties EmployeeId,EmployeeNumber
DistinguishedName : CN=JoeBob,OU=Users,OU=Bros,DC=contoso,DC=com
EmployeeID : A1B2C3
EmployeeNumber : 1234556
Enabled : True
GivenName : Joe
Name : JoeBob
ObjectClass : user
ObjectGUID : be0e26f8-194a-4e64-bd88-e8fe31ead255
SamAccountName : jbob
SID : S-1-5-21-2495528697-4433204477-8833759600-13738
UserPrincipalName : jbob@contoso.com
Установка атрибутов:
PS H:\> Set-ADUser jbob -EmployeeId $NewEmpId
Я бы очень осторожно сохранил даже последние 4 SSN сотрудника в Active Directory. По умолчанию эта информация будет доступна для чтения все аутентифицированные пользователи. И я лично считаю, что даже последние 4 цифры номеров социального страхования других людей заслуживают большей конфиденциальности, чем это.
Если вы собираетесь это сделать, я бы по адресу наименее рекомендуем пометить атрибут как конфиденциальный, изменив атрибут searchFlags: http://support.microsoft.com/kb/922836