Usando grupos de segurança do Active Directory como marcas hierárquicas

Question

Usando grupos de segurança do Active Directory como marcas hierárquicas

#1 resposta do (1 votos)
#2 resposta do (1 votos)

1

Como grupos de segurança de diretórios ativos podem ...

mantenha objetos, independentemente da UO.
ser usado para relatórios, documentação, inventário, etc.
ser referenciado por processos automatizados ( Get-QADGroupMember ).
seja usado para aplicar a política
seja usado pelo WSUS

Eu gostaria de usar grupos de segurança como tags hierárquicas, representando vários atributos de um computador ou usuário. Estou pensando em tags (centradas no computador) como estas:

/tag/vendor/vendorName
/tag/system/overallSystemName
/tag/application/vendorsApplicationName
/tag/dependantOn/computerName
/tag/department/departmentName
/tag/updates/Group1

Antes de atrapalhar a implementação, pensei em buscar comentários da comunidade. Especificamente nas áreas:

Isso faz sentido?
Funcionaria?
Alguém mais tentou isso?
Há uma boa referência sobre o assunto que devo ler?
Qual a melhor forma de implementar a hierarquia?
- Tag_OU \ Type_OU \ GroupName (limita a quantidade na OU, a exclusividade não é garantida)
- Tag_OU \ Type_OU \ Tag-Tipo-GroupName (limita a quantidade na UO, a exclusividade é garantida, a verbosidade)
etc ...

Obrigado antecipadamente!

windows groups active-directory windows-server-2008 group-policy

por Nathan Hartley 19.10.2010 / 23:16

2 respostas

Tags windows groups active-directory windows-server-2008 group-policy

Solaris ufs forcedirectio Como alterar o serviço do usuário iis 5 executado?

score 1 · Answer 1

Estamos fazendo coisas semelhantes para os usuários, na verdade. Nosso banco de dados de ERP apresenta listas de "Elegíveis para contas", que nossas rotinas de gerenciamento de identidades transformam em contas novas / excluídas. Essas mesmas listas incluem variáveis que nos permitem criar grupos automaticamente com base no tipo de funcionário e também como grupos universitários, principais e de classes inscritas. Os dois últimos são muito úteis para definir permissões em coisas como compartilhamentos de arquivos em sala de aula.

Uma das principais coisas que descobrimos é que a convenção de nomenclatura de grupo tem que ser tal que é óbvio que são gerados grupos em vez de mantidos manualmente. Isso desencoraja erros.

A outra coisa a ter em mente é que o AD permite grupos de aninhamento, o que é MUITO prático ao configurar um local de compartilhamento de arquivos no qual "qualquer pessoa que tenha aulas de Geologia" pode acessar; existe um grupo que contém os grupos de classes de todas as classes GEOL. É menos útil quando um aplicativo ou algo não suporta grupos aninhados (como é o caso do VB-Script).

Fazer isso com os computadores exigirá mais esforço, pois você não pode confiar no seu sistema IDM para fazer o trabalho pesado para você. Estamos apenas analisando arquivos CSV. Você terá que inventariar periodicamente todo o seu equipamento para gerar o seu. Esses tipos de sistemas de inventário podem ser feitos por meio de um script WMI que varre toda a empresa, um script WMI que é executado na inicialização que despeja a configuração em um local especial para análise e upload ou (para produtos comerciais) um agente real faz o inventário periódico e atualiza um banco de dados.

score 1 · Answer 2

Eu entendo o que você está tentando fazer, e faz sentido, mas algo me impressiona um pouco. Parece que o provisionamento de usuários e computadores pode levar muito tempo e complexidade.

Algumas de suas tags parecem itens do tipo de inventário. Gostaria de saber se não há uma solução melhor para isso, talvez o script WMI como o sysadmin1138 seja recomendado.

Também gostaria de saber sobre os efeitos do tempo de logon nos usuários, se eles estiverem em talvez 15 a 20 grupos.

No geral, uma boa ideia, não tenho certeza se é a maneira de conseguir o que você está procurando.