Como automatizar os atributos RFC2307 no Active Directory?

4

Como você automatiza o preenchimento e o gerenciamento de atributos RFC2307 no Active Directory de maneira escalonável e confiável agora que O SFU e o IdMU são considerados obsoletos pela Microsoft e não estarão disponíveis no Server 2016 ?

Meu objetivo é ter uidNumber , gidNumber , unixHomeDirectory e loginShell definido automaticamente ao criar um usuário ou grupo no Active Directory.

Ao adicionar um usuário a um grupo, o usuário também deve ser adicionado ao atributo memberUid desse grupo.

Considerei usar scripts Powershell ou VB caseiros, mas não parece muito escalável quando usado por vários administradores que lidam com milhares de usuários em um sistema de produção com requisitos de alta confiabilidade.

Eu sinto que isso deve ser um problema comum e que devem existir boas soluções, mas não consigo encontrar nenhuma.

    
por Mattsson 16.03.2016 / 18:47

1 resposta

2

Na minha experiência, há duas maneiras que eu já vi.

  1. Adquira uma solução que faça o que você precisa pronto para uso e torne-se sua solução de gerenciamento de identidade no topo do AD.
  2. Escreva o seu próprio.

Não vou postar recomendações de produtos para a opção 1 porque é contra as regras do site e tenho certeza de que você pode fazer o seu próprio pesquisa sobre isso. Mas deixe-me descrever como fazemos isso no meu ambiente atual com ferramentas autogeridas.

A premissa básica é que você deve parar de criar contas manualmente e deixar que suas ferramentas façam o trabalho para você. Particularmente com as ferramentas que você escreve, você pode codificar e impor regras de negócios sobre seu ambiente específico (localizações de usuários, formatos de nomes, associações automáticas a grupos, etc.) que outras ferramentas possivelmente não conhecem. Isso tem o efeito colateral de tornar suas ferramentas muito mais fáceis de usar. E quanto menos você tiver pessoas criando usuários manualmente a partir do ADUC, mais consistente e confiável será o seu ambiente.

Em nosso ambiente, todas as novas identidades associadas às pessoas são provisionadas automaticamente (e desprovisionadas) por um sistema de propriedade de RH a montante. Mas isso só cuida dos metadados básicos relacionados à GAL (nome, email, telefone, etc). Também temos um script powershell em execução no DC do emulador PDC que é executado a cada 5 minutos procurando contas com perfis RFC2307 incompletos e atualizando-os conforme necessário. Também atualiza GIDs para determinados subconjuntos de grupos. UIDs e GIDs são gerados com base em um algoritmo que os calcula a partir do SID da conta. Pode ser possível que o sistema de RH também provisione os perfis RFC2307, mas na época era menos trabalhoso ter a equipe de AD com esses dados / processos.

Além disso, temos uma página Web doméstica para aprovisionar contas "não pessoais", como contas de serviço, contas compartilhadas, contas de teste, etc. Cada tipo de conta é configurado automaticamente com os atributos RFC2307 apropriados, além de coisas como políticas de senhas granuladas, convenções de formato de nome de usuário, etc.

No final do dia, o AD é apenas um servidor LDAP gigante e há muitas maneiras de interagir com ele de maneira programática.

    
por 16.03.2016 / 20:04