AD - armazenando os últimos 4 segundos do número social do funcionário como o employeeNumber attritubte?

1

Atualmente, estou trabalhando no script de alguns de nossos acessos no trabalho e adoraria uma maneira fácil de inserir e recuperar os 4 últimos números sociais de um usuário. É a principal maneira de identificar as pessoas que ligam. Atualmente, temos que fazer o login e pesquisar em nosso aplicativo de RH, o que é bastante complicado de usar e adiciona tempo a uma chamada. As chances de eu conseguir que engenheiros de gerência / sênior aprovem e estendam o esquema são quase nulas. Eu estava pensando em escrever esse número para o atributo employeeNumber, mas não tenho certeza se há alguma consequência invisível em fazê-lo. Aparentemente, alguém em nosso antigo helpdesk começou a inserir essa informação na guia 'telefones' no AD, que pode ser vista através do catálogo global do Outlook ... managmeent não foi muito feliz.

Esta é uma ideia decente com o que tenho de trabalhar? ou? ...

    
por soMuch2Learn 12.03.2014 / 05:06

2 respostas

4

O campo employeeNumber, embora não possa ser visualizado por meio da GUI, ainda pode ser consultado por qualquer pessoa com acesso de leitura ao AD, se não me engano. Pode levar mais esforço do que o "Outlook".

Mas honestamente ... são os últimos 4 do SSN ... então eu acho que sua abordagem, se o gerenciamento for bom com isso, é boa o suficiente.

Apenas certifique-se de não se preocupar com o número real de um funcionário no futuro que está sendo armazenado lá. Mas sim, não é algo que vai estragar outra coisa se você escolher arbitrariamente um número para armazenar lá.

    
por 12.03.2014 / 05:13
3

O esquema padrão pronto para uso já contém um atributo employeeNumber e employeeID ...

Lendo os atributos:

PS H:\> Get-ADUser jbob -Properties EmployeeId,EmployeeNumber

DistinguishedName : CN=JoeBob,OU=Users,OU=Bros,DC=contoso,DC=com 
EmployeeID        : A1B2C3 
EmployeeNumber    : 1234556 
Enabled           : True 
GivenName         : Joe 
Name              : JoeBob 
ObjectClass       : user 
ObjectGUID        : be0e26f8-194a-4e64-bd88-e8fe31ead255 
SamAccountName    : jbob 
SID               : S-1-5-21-2495528697-4433204477-8833759600-13738 
UserPrincipalName : [email protected]

Definindo os atributos:

PS H:\> Set-ADUser jbob -EmployeeId $NewEmpId

Eu seria muito cuidadoso ao armazenar até os 4 últimos SSN do funcionário no Active Directory. Por padrão, essas informações serão legíveis por todos os usuários autenticados. E eu pessoalmente consideraria até mesmo os últimos 4 dígitos dos números de seguridade social de outras pessoas merecerem mais confidencialidade do que isso.

Se você for fazer isso, eu recomendaria menos a marcação do atributo como confidencial, modificando o atributo searchFlags:

    
por 12.03.2014 / 13:17