Associação temporária ao grupo do AD

12

Restringimos a execução de exe em toda a organização. Mas com base em justificativas & aprovações adicionamos usuários a grupos AD específicos por 24 horas.

Atualmente, o processo de remover os usuários desses grupos do AD depois de X horas é manual. Eu estou tentando automatizá-lo de alguma forma. Mas eu queria saber se existe alguma maneira nativa de lidar com isso dentro do AD 2003. A escrita de um script (powershell / vbs) é a única maneira de lidar com isso?

    
por Anoop 08.07.2013 / 03:10

2 respostas

23

Assumindo que todos os seus controladores de domínio sejam o Windows Server 2003 ou posterior, você pode fazer isso com o Active Directory nativo objetos dinâmicos sem qualquer script.

Digamos que uma conta de usuário, "Bob", precisa estar no grupo "Contabilidade" por 24 horas.

  • Crie um grupo "Bob in Accounting 24 Hours" e especifique um entry-TTL por 24 horas (a duração que você deseja que o grupo permaneça no Active Directory) no momento da criação.

  • Adicione o "Bob em contabilidade 24 horas" como membro do grupo "Contabilidade"

  • Adicione a conta de usuário "Bob" como membro do grupo "Bob in Accounting 24 Hours"

Após o próximo logon da conta de usuário "Bob", ele será um membro do grupo "Contabilidade" por meio da associação ao grupo aninhado do grupo "Bob na contabilidade 24 horas" no grupo "Contabilidade". No final de 24 horas, todos os controladores de domínio coletarão lixo no grupo "Bob in Accounting 24 Hours" e "Bob" não será mais um membro de "Accounting".

O truque é que objetos não dinâmicos não podem ser convertidos em dinâmicos após sua criação. Usando o aninhamento de grupo, porém, você fica com essa limitação nessa instância.

Você precisará usar uma ferramenta diferente de "Usuários e computadores do Active Directory" para criar o grupo, pois precisará definir o entry-TTL no momento da criação do grupo. O script nesta entrada de blog pode ser um ponto de partida ( é construído para criar objetos User) ou, como alternativa, você pode usar ldifde ou csvde para fazer a criação também.

    
por 08.07.2013 / 23:07
6

Você pode lidar com isso de várias maneiras, nenhuma é nativa do AD:

  1. Escreva um script e coloque-o no agendador de tarefas. Faça com que ele consulte um arquivo de texto ou CSV em algum lugar da rede com a lista atual. Remova as pessoas que não estão nessa lista em tempo de execução.

  2. Use algo como o System Center Orchestrator para criar um runbook para adicionar usuários ao grupo e removê-los após X horas automaticamente.

  3. Faça um lembrete do Outlook para levar as pessoas manualmente:)

por 08.07.2013 / 03:16