Adiciona automaticamente usuários do ActiveSync ao grupo AD?

Não tenho certeza sobre a resposta, mas, de acordo com o meu conhecimento, não há como o websense adicionar / remover automaticamente usuários de grupos de diretórios, pois isso é controlado exclusivamente no próprio diretório. Eu não estou 100% com V7 ainda, mas com V6.xx se o usuário não é membro de um grupo, a política padrão se aplica automaticamente, portanto, se você quiser alterar a política padrão que se aplica a todos os usuários (a menos que em outro grupo de políticas ) em seguida, simplesmente alterar a política padrão.Por favor, consulte este link espero que você obtenha sua resposta.

link

Não tenho 100% de certeza de que isso funcionaria ou não, mas você teria que abordar isso de uma das duas direções.

1. Active Directory

Teoricamente, você poderia criar um filtro AD personalizado que seja disparado sempre que uma condição específica for atendida. Por exemplo, muitas pessoas executam filtros de alteração de senha para capturar a senha e quando ela foi alterada. Você pode criar um filtro de logon e tentar decifrar as informações adicionais fornecidas para executar outra lógica para adicionar o usuário a um grupo.

Não exatamente confiante de que isso seria fácil ou até mesmo factível

2. Exchange

Deixe o Exchange lidar com essa lógica. Crie algum complemento para o Exchange que lide com a conexão ActiveSync e, em seguida, execute a mesma lógica acima para adicionar o usuário ao grupo.

Obviamente, isso é tudo teórico e pode ou não funcionar corretamente, certamente será uma solução personalizada.

Não é 'automático', mas um script do PowerShell ou uma tarefa equivalente pode consultar objetos objectCategory = person que são usuários do Exchange (como homeMDB = *) e ter objetos filho localizados em ExchangeActiveSyncDevices e atualizar uma associação do grupo de distribuição com os resultados.

Objetos com um DN pai que inclui objeto de usuário e um filho CN = ExchangeActiveSyncDevices são uma indicação razoavelmente precisa de um dispositivo ActiveSync.

A objectCategory seria 'msExchActiveSyncDevice'.

Você também pode refinar a consulta especificando que o atributo whenChanged é recente. Dispositivos obsoletos tendem a permanecer no AD e não são removidos.

Aqui está um exemplo de saída do ldifde de um dispositivo ActiveSync:

dn: CN=iPhone5§3939303030323037383031353037,CN=ExchangeActiveSyncDevices,CN=jSmith,OU=Users,OU=HQ,DC=acme,DC=com
changetype: add
objectClass: top
objectClass: msExchActiveSyncDevice
cn:: aVlkjb25llkjnMzkzOTMlkjMDMyMzAzNzM4MzAzMTM1MzAzNw==
distinguishedName:: 
 Q049alk25lNcKnMzkzOTMwMzAzMDMyMzAzNzM4MzAzMTM1MzAzNyxDTj1FeGNoYW5nZUFjdGl2ZV
 N5bmNEZXZpYlkjNOPWdhc2tlMlkjLE9VPVVzZXJzLE9VPUhEUVJLLERDPW1paGRxLERDPW1hcnJj
 b3JwLERDPW1hcnJpb3R0LERDPWNvbQ==
instanceType: 4
whenCreated: 20121204031102.0Z
whenChanged: 20121206035828.0Z
uSNCreated: 64647685
uSNChanged: 64888478
name:: aVBokjrweNcKnMzkzOTMwhjgdfAzMDMyMzAzNzM4MzAzMTM1MzAzNw==
objectGUID:: odtO+OEUg0aae4kVkQOjRg==
systemFlags: 1073741824
objectCategory: CN=ms-Exch-Active-Sync-Device,CN=Schema,CN=Configuration,DC=acme,DC=com
dSCorePropagationData: 16010101000000.0Z
msExchDeviceAccessState: 1
msExchDeviceFriendlyName: Android_hq_jSmith
msExchUserDisplayName: acme.com/HQ/Users/jSmith
msExchDeviceEASVersion: 14.1
msExchDeviceOS: Android 4.1.1
msExchDeviceType: iPhone5
msExchDeviceID: 3939303030323037383031353037
msExchDeviceModel: SCH-I605
msExchFirstSyncTime: 20121204031102.0Z
msExchDeviceUserAgent: TouchDown(MSRPC)/7.3.00052/
msExchDeviceTelephoneNumber: ******7887
msExchDeviceOSLanguage: English
msExchDeviceAccessStateReason: 1
msExchVersion: 44220983382016
msExchDeviceIMEI: 99000207801507