Na minha experiência, há duas maneiras que eu já vi.
- Adquira uma solução que faça o que você precisa pronto para uso e torne-se sua solução de gerenciamento de identidade no topo do AD.
- Escreva o seu próprio.
Não vou postar recomendações de produtos para a opção 1 porque é contra as regras do site e tenho certeza de que você pode fazer o seu próprio pesquisa sobre isso. Mas deixe-me descrever como fazemos isso no meu ambiente atual com ferramentas autogeridas.
A premissa básica é que você deve parar de criar contas manualmente e deixar que suas ferramentas façam o trabalho para você. Particularmente com as ferramentas que você escreve, você pode codificar e impor regras de negócios sobre seu ambiente específico (localizações de usuários, formatos de nomes, associações automáticas a grupos, etc.) que outras ferramentas possivelmente não conhecem. Isso tem o efeito colateral de tornar suas ferramentas muito mais fáceis de usar. E quanto menos você tiver pessoas criando usuários manualmente a partir do ADUC, mais consistente e confiável será o seu ambiente.
Em nosso ambiente, todas as novas identidades associadas às pessoas são provisionadas automaticamente (e desprovisionadas) por um sistema de propriedade de RH a montante. Mas isso só cuida dos metadados básicos relacionados à GAL (nome, email, telefone, etc). Também temos um script powershell em execução no DC do emulador PDC que é executado a cada 5 minutos procurando contas com perfis RFC2307 incompletos e atualizando-os conforme necessário. Também atualiza GIDs para determinados subconjuntos de grupos. UIDs e GIDs são gerados com base em um algoritmo que os calcula a partir do SID da conta. Pode ser possível que o sistema de RH também provisione os perfis RFC2307, mas na época era menos trabalhoso ter a equipe de AD com esses dados / processos.
Além disso, temos uma página Web doméstica para aprovisionar contas "não pessoais", como contas de serviço, contas compartilhadas, contas de teste, etc. Cada tipo de conta é configurado automaticamente com os atributos RFC2307 apropriados, além de coisas como políticas de senhas granuladas, convenções de formato de nome de usuário, etc.
No final do dia, o AD é apenas um servidor LDAP gigante e há muitas maneiras de interagir com ele de maneira programática.