Mudanças e monitoramento em massa do Active Directory

4

Eu trabalho com um MSP e gostaríamos de implementar algo no sentido de que todos os usuários dentro de nossa organização possam ser facilmente adicionados em vários domínios diferentes que não estão na mesma área da floresta.

Deixe-me dar um exemplo

Digamos que um novo usuário, John Doe, se junte à nossa empresa. Obviamente, não queremos que todos saibam a senha do administrador do domínio, então criamos um nome de usuário, digamos, adminjd, com uma empresa com a qual ele trabalha, XYZ nós gerenciamos MUITOS clientes, portanto, ele não apenas deve ter uma conta com XYZ, mas também ABC, 123, ACME, e assim por diante - então, adicioná-lo a contas de serviço pode consumir um técnico por vários dias. Nada de bom. A questão é agravada ainda mais se, digamos, nós tivermos uma ruptura não tão amigável com o Sr. Doe e quisermos remover suas contas. Podemos fazer isso com facilidade e rapidez com o Solarwinds NCM para Cisco / Juniper / Etc. dispositivos, mas não temos uma ótima solução para Diretórios Ativos / LDAP, pagos ou de outra forma.

Também seria bom monitorar eventos e outras informações relevantes do Active Directory, mas a função principal é mencionada acima.

Alguém tem alguma experiência com esse software? Alguém pode fazer uma recomendação?

    
por ŹV - 16.09.2010 / 17:43

4 respostas

1

Eu recomendo uma solução de script. (É o meu melhor martelo, então tudo parece um prego ...) Neste caso do Active Directory Scripting, o Perl torna isso muito mais fácil do que no VBScript (minhas duas linguagens mais strongs), porque você precisa se ligar explicitamente a cada domínio em Perl (onde em VBScript usa o contexto de conta de que o script é executado como). Eu normalmente uso o módulo NET::LDAP .

Eu configuraria o script para aceitar argumentos de linha de comando ou apresentaria uma lista de perguntas e respostas (nome completo, nome de usuário, senha, administrador do domínio ?, etc). Você também pedirá seu próprio nome de usuário e senha para os domínios também. (Isso é mais fácil se você usar a prática (insegura) de ter todas as senhas iguais em todos os domínios, mas você pode configurá-lo para solicitar cada execução.)

Em seguida, defina uma matriz dos domínios do seu cliente. Em um loop for , ligue-se a cada domínio, crie a conta em cada um (definindo grupos e senhas) e, em seguida, passe para o próximo domínio. Enxaguar. Repita.

    
por 16.09.2010 / 18:08
2

Estamos usando o Novell Identity Manager em nosso ambiente há muitos anos e estamos extremamente satisfeitos com os resultados. Ele fornece um número arbitrário de domínios do Active Directory, bem como o eDirectory, várias soluções de e-mail, bancos de dados etc., e é muito flexível na forma como é implantado. Por causa do escopo do produto, ele pode ser bastante complexo, mas basicamente tratará de todas e quaisquer tarefas de provisionamento de usuários e recursos que você lançar nele (e você pode limitar seu escopo para implantações simples e prontas para uso). A estabilidade e a escalabilidade após a configuração inicial são excelentes.

link

    
por 16.09.2010 / 21:07
0

Teste o ManageEngine ADManager Plus para provisionar contas de usuários no Active Directory em vários domínios. Para monitorar as ações do usuário, implante o ManageEngine ADAudit Plus.

    
por 17.09.2010 / 17:07
0

AuthAnvil, faz o que você quer. Eu não uso, mas ouvi grandes coisas sobre isso. Você não precisa nem criar contas em cada sistema.

Ian

    
por 23.09.2010 / 00:41