validando os campos do Active Directory após a criação e atualizações

2

Existe uma maneira de validar determinados campos no Active Directory? Por exemplo, podemos definir algo no AD para que o número de telefone de um usuário ou outro campo / atributo seja concluído antes que a conta possa ser criada. Gostaria de saber se podemos fazer isso como parte do esquema do AD. Eu estou em uma organização grande e não posso forçar todos a usar a mesma ferramenta para criação de conta (ou então eu poderia criar uma ferramenta de criação / modificação de conta e validar a partir do aplicativo).

    
por slowpoh 02.03.2012 / 18:15

2 respostas

6

Essa é realmente uma excelente pergunta. Esta é uma característica crítica dos bancos de dados "normais", chamados de restrições. Sem restrições, garantir a integridade, precisão e qualidade dos bancos de dados é mais difícil e demorado.

Alguns atributos já estão configurados dessa maneira. Por exemplo, o samAccountName deve existir e ser exclusivo no domínio.

Eu recomendaria não alterar um atributo do sistema de opcional para obrigatório, a menos que você se sinta muito à vontade com o nível de experiência do Active Directory e tenha sido totalmente testado nisto em um ambiente que não seja de produção.

Uma alternativa pode ser uma tarefa agendada que varre objetos para os campos em que a conformidade é desejada e realiza uma regex para determinar se eles estão em conformidade e salva isso como um relatório para distribuição à equipe que precisaria fazer quaisquer correções.

Se você tiver interesse nos detalhes do esquema e nos atributos obrigatórios, os itens a seguir podem ser úteis:

Como o esquema do Active Directory funciona
link

Modifique uma classe de esquema ou uma definição de atributo existente
link

Noções básicas sobre atributos exclusivos no Active Directory
link

Instale o snap-in Esquema do Active Directory
link

    
por 02.03.2012 / 19:21
2

Este é um exemplo clássico de procurar uma solução técnica para um problema não técnico. Se os administradores não puderem seguir as diretrizes de criação de contas, remova os direitos deles para fazer isso.

Além disso, não acredito que você possa configurar um atributo a ser exigido por uma atualização de esquema. Se alguém tiver informações sobre como fazer isso, terei prazer em corrigir.

    
por 02.03.2012 / 18:26