活动目录中有多个管理器

活动目录中有多个管理器

在我们的环境中,一名员工可以有多名经理。他们也可以属于多个部门。

由于管理器属性似乎是一个单一值,并且一个用户只能在一个 OU 中,因此我如何在活动目录中容纳这一点?

答案1

我的想法 ...

  1. 我们也是一个“矩阵”组织。不要陷入认为 AD 结构需要映射到组织结构的陷阱中。AD 结构是关于如何组织资源,而不是关于权限线。您可能需要找到自己的结构来使用。在这个组织中,我们首先要考虑 (1) 他们是否需要本地管理员权限,然后是 (2) 高管和远程工作人员,然后是 (3) 主要物理位置。

  2. 您可以使用安全和分发组来管理权限,当人们拥有多个部门和管理链时,这可能会非常复杂。当用户属于多个组时,AD 有办法协调冲突的权限。您应该做一些实验来了解该机制。

  3. 至于“部门”、“经理”和“直接报告”字段,除非有人为每个用户指定主要人员,否则您可能应该将其留空。人力资源部可能已经为工资系统设置了主要经理和部门。

答案2

您为该字段想出一个标准格式,然后将信息连接成一个满足该格式的字符串并填充相应的字段。

或者,您可以使用自己的字段扩展 AD 架构,或者使用您尚未使用的其他多条目字段。但是,问题在于让客户端应用程序读取这些字段...

答案3

如果您希望用户位于多个 OUS 中,则可以使用抽象 AD 的第三方产品,如 ActiveRoles 服务器。ARS 有一种称为托管单元的对象类型,它允许额外委派权限和应用 ARS 策略,但 AD 看不到这些对象,因此您无法使用 GPO。

相关内容