Gerenciamento do Active Directory com baixos direitos de usuário

4

Nosso problema:

O cliente, um usuário normal, precisa ser capaz de redefinir várias senhas de uma só vez. Cerca de 30 de uma só vez. Isso exigiria powershell ou algo assim, mas para AD e Powershell é preciso ser administrador de domínio.

Minha solução seria criar um serviço que seja executado no servidor do AD e receba conexões de um programa. O serviço faria então as alterações do AD.

Até aí tudo bem, gostaria apenas de ouvir algumas outras reflexões sobre esse problema. Porque com certeza não posso ser o único com isso

    
por DemonWareXT 20.06.2012 / 10:38

1 resposta

8

Por que não usar delegação?

Coloque os usuários juntos em uma UO, crie um grupo que possa gerenciá-los (ou não, você escolhe). Depois disso, clique com o botão direito na UO e escolha 'Delegar Controle'

Depois disso, siga o assistente para permitir que um determinado grupo / usuários faça alterações nos objetos (ou em um subconjunto de objetos) na UO.

Quando sua delegação estiver definida, você poderá redefinir todas as senhas via Powershell. Se você quiser fazer isso facilmente, recomendo usar os cmdlets da Quest.

 get-QADUser -SearchRoot 'company.com/SpecialUsersOU' | set-QADUser -userPassword "MyCompanyIsAwesomeAndThisIsAHardPassword!" -whatIf
    
por 20.06.2012 / 10:59