Мы ограничиваем работу exe по всей организации. Но на основании обоснований и одобрений мы добавляем пользователей в (определенные) группы AD на 24 часа.
В настоящее время процесс удаления пользователей из этих групп AD после X часов выполняется вручную. Я пытаюсь автоматизировать это каким-то образом. Но мне было интересно, есть ли какой-нибудь собственный способ обработки этого в AD 2003. Является ли написание сценария (powershell / vbs) единственным способом обработки этого?
Ответы:
Предполагая, что все ваши контроллеры домена работают под управлением Windows Server 2003 или более поздней версии, вы можете сделать это с помощью встроенных функций динамических объектов Active Directory без каких-либо сценариев.
Допустим, учетная запись пользователя «Боб» должна находиться в группе «Бухгалтерский учет» в течение 24 часов.
Создайте группу «Bob in Accounting 24 Hours» и укажите entry-TTL24 часа (продолжительность, в течение которой группа должна оставаться в Active Directory) во время создания.
Добавьте «Bob in Accounting 24 часа» в качестве члена группы «Accounting»
Добавьте учетную запись пользователя «Bob» в качестве члена группы «Bob in Accounting 24 Hours»
При следующем входе в учетную запись пользователя «Боб» он станет членом группы «Учет» через членство вложенной группы из группы «Боб в бухгалтерии 24 часа» в группу «Учет». По истечении 24 часов все контроллеры домена будут собирать мусор в группе «Боб в бухгалтерии 24 часа», и «Боб» больше не будет членом «Бухгалтерии».
Хитрость в том, что нединамические объекты не могут быть преобразованы в динамические после их создания. Однако использование группового вложения позволяет обойти это ограничение в данном случае.
Вам нужно будет использовать инструмент, отличный от «Пользователи и компьютеры Active Directory», чтобы создать группу, потому что вам нужно будет установить ее entry-TTLво время создания группы. Сценарий в этой записи в блоге может быть стартовое место (он построен , чтобы создать объекты пользователя) или, в качестве альтернативы, вы можете просто использовать ldifdeили csvdeсделать создание, тоже.
Вы можете справиться с этим несколькими способами, ни один из которых не является родным для AD:
Напишите скрипт и поместите его в планировщик задач. Пусть он запросит текстовый файл или CSV где-нибудь в сети с текущим списком. Пусть он удалит людей, которых нет в этом списке во время выполнения.
Используйте что-то вроде System Center Orchestrator, чтобы создать книгу запусков, чтобы добавить пользователей в группу и автоматически удалить их через X часов.
Сделать напоминание Outlook, чтобы вывести людей вручную :)