Permitir que o Departamento de RH insira usuários no Active Directory / Exchange em vez de TI?

Navegue suas respostas
5

Estou aprendendo enquanto vou - mas uma coisa que sempre me perguntei: em corporações maiores, o departamento de TI entra em todas as novas contratações no diretório ativo / cria a caixa de correio de troca ou existe uma configuração que permita aos recursos humanos / gerentes adicionar novos funcionários?

Suponho que eu poderia desenvolver algo em que eles inserissem as informações das pessoas e isso empurrasse todos os sistemas necessários - mas eu estava imaginando se havia um método embutido - ou isso é apenas algo que o departamento de TI faz?

Editar adição:

Atualmente, recebo uma cópia das informações dos novos funcionários, coloco-as em todos os sistemas (diretório ativo, horário e participação, troca etc.) e, em seguida, retorno as informações.

Procurando um método melhor para conseguir isso. Os sistemas atuais que usamos são:

Sistemas de proteção Active Directory, Microsoft Exchange, QQest time e Attendance e MySQL e, em seguida, o McAfee SAS.

O QQest tem integração ativa de diretórios, mas mesmo trabalhando com eles, nunca consegui que ele funcionasse corretamente.

O McAfee SAS acaba de lançar um recurso de integração de diretório ativo, mas ouvi dizer que ainda tem bugs e estou aguardando uma versão de atualização antes de tentar implementar.

Estou planejando usar o Active Directory como a informação de login para o banco de dados mysql, estamos atualmente escrevendo uma nova versão do sistema para usá-lo, mas será algum tempo antes de ser concluído.

Obrigado.

    
por Jeff 23.11.2011 / 19:08

3 respostas

6

É certamente possível delegar um conjunto limitado de privilégios para gerenciar objetos de usuário. Eu trabalho em um provedor de serviços educacionais, e um de nossos departamentos lida com muitos estudantes que estão presentes apenas por algumas semanas, e eles estão constantemente indo e vindo. Seria uma dor para nós gerenciar as contas deles. Por isso, delegamos privilégios a um dos funcionários desse programa.

Ainda não decidimos não fazer isso, mas estávamos investindo na integração do nosso sistema de folha de pagamento diretamente no AD via SIF . Deve ser possível que as contas sejam criadas automaticamente. Todo o software existe para fazer isso, mas como não somos uma escola tradicional, isso não se encaixou exatamente em nossos requisitos.

Se você optar por delegar isso, talvez seja necessário avaliar seus requisitos de segurança. Talvez você possa permitir que o RH crie as contas, mas não permita que elas modifiquem a associação ao grupo. Dessa forma, é necessário algum tipo de solicitação para que alguém verifique novamente se os privilégios solicitados são válidos para essa pessoa.

    
por 23.11.2011 / 19:16
4

Uma das minhas implantações de AD envolve centenas de funcionários no exterior e uma infinidade de projetos. Um dos produtos com os quais trabalhamos também exigiu um logon separado, como você descreveu.

Não consegui encontrar uma maneira unificada de permitir o acesso ao segundo produto. No final, eu fui com sua integração AD tão piegas como é.

A delegação de permissões a funcionários fora do IS tornou-se um requisito comercial definitivo. No final do dia, tivemos alguns níveis de acesso de delegado - um que permite que usuários não SI criem projetos e executem tarefas gerais de gerenciamento de AD (limitado a uma ramificação do AD) e outro para gerenciamento de usuários, incluindo novos usuários, membros do grupo e redefinição de senha.

A maior coisa que encontrei é que é imperativo definir permissões em seus grupos também. Se configurado adequadamente, os usuários delegados poderão mover os usuários entre grupos comuns sem a capacidade de realizar ataques de escalonamento de privilégios.

    
por 23.11.2011 / 19:58
3

Onde estiver, isso seria uma tarefa que será concluída pelo Administrador do sistema usando as informações fornecidas pelo departamento de RH por meio de uma ordem de serviço ou sistema de tickets.

Eu configurei o Active Roles Server como suporte técnico que você pode usar para fazer o que você tentando fazer, mas você teria que decidir se o esforço é justificado com base na sua base de usuários.

    
por 23.11.2011 / 19:14

Tags

Como manter uma instalação macports Recarregando um kernel “live” no CentOS / RHEL 6