Usando o AD como um diretório de propósito geral [closed]

Eu trabalhei em um ambiente grande (100k + usuários), onde o AD era usado para armazenar uma quantidade significativa de informações gerais de funcionários. Além dos nomes usuais de e-mail e de usuário, também tínhamos vários números de telefone localização do escritório (até na localização do escritório de construção), hierarquia organizacional (quem trabalhou para quem), número de funcionário, foto miniatura, fuso horário normal, data de início e um monte de outras coisas que não me lembro agora.

Admito que tivemos um conjunto interno de APIs de acesso controlado (e algum processo de autorização para aprovar o acesso a elas) que nos permitiu controlar a delegação de direitos para atualizar propriedades específicas do AD em uma base por usuário \ por grupo Por isso, foi fácil amarrar as atualizações dessas propriedades do AD com segurança nos aplicativos de RH, que é onde o gerenciamento desse tipo de dado era tratado.

Como usuário de uma organização grande, descobri que ter esse tipo de informação disponível era realmente útil e ser capaz de obter esse tipo de dados por meio de uma simples consulta LDAP em meus próprios aplicativos sem ter que passar por obstáculos para obter acesso para bancos de dados de RH também foi muito útil.

Se você usa o Exchange, isso pode ser útil, permitindo que as pessoas consultem outras pessoas no catálogo de endereços global, principalmente para grandes organizações. Se você não usa o Exchange, provavelmente não há muito benefício nisso sem alguma programação personalizada.

Tendo dito isso, como uma organização menor, usamos o Exchange, ainda executamos o AD, e nunca incluímos informações de não-login, exceto o nome completo e, em alguns casos, afiliação do departamento.

Devo acrescentar que o maior obstáculo a isso é que manter o AD atualizado é uma função da TI e, em muitas organizações, não há um bom processo para obter os tipos de informações que povoariam um diretório genérico, por exemplo, RH para TI - muitas vezes, a segurança ou as permissões necessárias são a prioridade de TI para novas contratações e atualizações.

Usamos as informações telefônicas, informações organizacionais (alimentadas pelo nosso sistema de RH) e alguns extensionAttributes para misc. coisa. As informações organizacionais são inestimáveis do ponto de vista da TI, pois você pode rapidamente ver com quem está lidando ou contatar equipes em vez de indivíduos. As informações telefônicas podem ser consultadas usando um front-end web simples. Os usuários também se acostumaram a ver um pouco de informação via Outlook. Ah, as informações organizacionais também são usadas para preencher dinamicamente alguns grupos globais, com base em qual departamento você está. Esses grupos são usados para fornecer acesso baseado em departamento. Em suma, o AD é um bom lugar para guardar coisas assim.

Eu vi isso usado em um ambiente para monitorar quando computadores específicos estavam sendo usados como uma espécie de sistema de monitoramento de funcionários, mas isso não faz tanto sentido quanto usar seu LDAP junto com ele.

Nós o usamos como um diretório de propósito geral para trabalhar com o Exchange, no entanto, ainda o usamos com a autenticação do usuário por motivos de segurança. Se fosse apenas para o pessoal do escritório interno, isso não seria necessário para nós.