Unindo Contas de Computadores e Contas de Usuários do Active Directory

Navegue suas respostas
2

No AD, é possível associar uma conta de usuário a uma conta de computador de alguma forma? A ideia é que eu queira escrever um programa para consultar o AD para o (s) computador (es) que o usuário possui.

    
por P.Brian.Mackey 15.08.2010 / 01:46

5 respostas

3

No AD Users & Computadores, você encontrará um campo 'Gerenciado por' para cada objeto de computador. Você pode adicionar a conta do AD do usuário a esse campo e usá-lo para identificar o proprietário da estação de trabalho.

Pelo que entendi, não há permissões extras concedidas adicionando um usuário ao campo "Gerenciado por". Está lá apenas para manter um registro.

Outra maneira que empreguei é padronizar o campo 'Descrição' para que ele contenha um conjunto consistente de informações. Por exemplo, no campo de descrição de um computador, você poderia ter:

Desktop, Brisbane, Dell Optiplex 720, Fred Bloggs, 01-02-2007

A partir disso, analisar e extrair um local, tipo de computador, modelo, nome de usuário ou data de compra é bem simples. Você também pode fazer com que seu script de logon copie as mesmas informações no campo de descrição da máquina do sistema operacional.

Uma outra opção - o AD permite estender e aprimorar seu esquema, como outros bancos de dados. Você pode usar isso para adicionar campos personalizados . Isso é um pouco mais complicado, e você corre o risco de violar a regra 'não mexa nos padrões, a menos que você não tenha escolha' na administração da rede.

    
por 15.08.2010 / 02:28
2

Meu método preferido é simplesmente usar software de inventário que associa automaticamente nomes de usuários a nomes de computadores. Se mantivéssemos essas informações no AD, isso seria mais uma coisa para atualizar manualmente com cada mudança de pessoal ou equipamento; por que eu iria querer fazer algo manualmente se minha rede fizesse isso por mim?

OCS Inventory NG é uma ótima alternativa gratuita / de código aberto; Se a interface do usuário não é adequada para uma pesquisa específica e você conhece SQL, você pode consultar o banco de dados MySQL diretamente também. Se você configurá-lo para que cada estação de trabalho faça o check-in com o servidor no login, você sempre saberá quem está conectado em qual (is) computador (es).

    
por 15.08.2010 / 08:25
1

Não é realmente um bom caminho pelo que me lembro, porque os usuários podem fazer logon em várias máquinas ou vários usuários podem fazer logon na mesma máquina.

Supondo que seja um para um (uma máquina para um usuário) em um ambiente menor ou bem controlado, talvez você consiga hackear algo assim ...

Dependendo de quanto tempo você tem antes do prazo, você pode ter seu script de login atualizando você com quem está efetuando login e em qual máquina via vbscript ou lote. Você pode anexar essas informações a um arquivo simples em um compartilhamento de servidor e fazer sua própria análise mais tarde ...

exemplo de script (não testado) echo "% USERNAME% na máquina% SYSTEMNAME%" > > S: \ admins \ servermap.txt

Em seguida, analise isso depois com algum vbscript que examine o arquivo e retorne o nome da máquina após um nome de usuário ...

Ou se você for esperto, pode fazer a mesma coisa no script de logon, mas em vez disso, escrever o nome da máquina no campo Descrição do anúncio dos usuários ou em algum outro campo que não esteja usando como um admod ... Isso precisaria acesso administrativo embora ...

admod -b dc = teste, dc = net "descrição ::% USERNAME% COMPUTER"

    
por 15.08.2010 / 01:57
1

Isso depende do que você entende por "possui". Se você se refere à estação na qual eles fazem login todos os dias, você pode classificá-los analisando os logs de eventos de Segurança do Controlador de Domínio e associando os eventos de login / logout às estações de trabalho. Ou os logs de eventos de segurança das próprias estações de trabalho, se você quiser ir tão longe.

Os eventos de login nos DCs mostram o IP do qual o login veio, portanto, você terá que analisar os logins da conta da máquina para que correspondam o IP ao nome da máquina. Consultar os logs da estação de trabalho é melhor, já que só mostra quem efetuou login nessa máquina, embora isso signifique que você precisará ativar o log de Segurança; está desativado por padrão no XP, mas ativado por padrão no Vista e 7.

    
por 15.08.2010 / 04:39
0

Não, você não pode fazer isso porque o que é chamado de associado ao computador / máquina do Windows AD é realmente apenas a instalação do Windows, mas as máquinas físicas não estão sendo identificadas pelo Windows AD. Você pode inicializá-lo:

  • de uma imagem em qualquer computador
  • do disco de outro computador
  • para que várias máquinas virtuais ingressem no domínio em uma máquina física
  • para ter várias sessões de login na mesma configuração do Windows
  • possui máquinas sem discos rígidos com sessões de logon de terminal remoto.

Portanto, o DC não detectará o hardware físico do computador. Não está claro o que considerar uma unidade de segurança física, mesmo teoricamente.

Eu tentei fazer uma pergunta semelhante em SF, mas ela foi encerrada:

Espero que o destino da sua pergunta seja diferente

Eu votei sua pergunta, continue!

    
por 16.08.2010 / 06:37

Tags

Os firewalls bloquearão meu protocolo de rede não HTTP mesmo se eu usar a porta TCP 80? gerenciamento de configuração do sistema baseado em rpm