因为活动目录安全组可以...
- 无论 OU 如何,都可以保存对象。
- 用于报告、文档、库存等。
- 被自动化流程引用(获取 QADGroupMember)。
- 是用于应用策略
- 是由 WSUS 使用
我想使用安全组作为分层标签,代表计算机或用户的各种属性。我正在考虑以下(以计算机为中心的)标签:
/tag/vendor/vendorName
/tag/system/overallSystemName
/tag/application/vendorsApplicationName
/tag/dependantOn/computerName
/tag/department/departmentName
/tag/updates/Group1
在摸索着实现这个之前,我想先征求一下社区的意见。具体来说,在以下方面:
- 这有意义吗?
- 它会起作用吗?
- 还有其他人尝试过这个吗?
- 有没有关于此事我应该阅读的好参考资料?
- 如何最好地实现层次结构?
- Tag_OU\Type_OU\GroupName(限制 OU 中的数量,不保证唯一性)
- Tag_OU\Type_OU\Tag-Type-GroupName(限制 OU 中的数量、保证唯一性、详细)
- ETC ...
提前致谢!
答案1
实际上,我们正在为用户做类似的事情。我们的 ERP 数据库会输出“符合帐户条件”列表,我们的身份管理程序会将其转换为新帐户/已删除帐户。这些相同的列表包括允许我们根据员工类型自动创建组的变量,并且由于我们是大学,因此还包括专业和注册班级组。后两个对于设置诸如课堂文件共享之类的权限非常有用。
我们发现的一个关键问题是,群组命名惯例必须明确表明它们是生成的群组,而不是手动维护的群组。这可以防止出现错误。
另一件需要记住的事情是,AD 允许嵌套组,这在设置“任何参加地质学课程的人”都可以访问的文件共享位置时非常方便;有一个组包含所有 GEOL 类的类组。当应用程序或某些东西不支持嵌套组时(例如 VB-Script 的情况),它就不那么方便了。
使用计算机执行此操作将需要更多努力,因为您不能依赖 IDM 系统为您完成繁重的工作。我们只是解析 CSV 文件。您必须定期清点所有设备以生成您的设备。这些类型的库存系统可以通过扫描整个企业的 WMI 脚本、在启动时运行的 WMI 脚本(将配置转储到特殊位置以供解析和上传)或(对于商业产品)定期清点并更新数据库的实际代理来创建。
答案2
我明白你想做什么,而且这很有道理,但我觉得有些不对劲。似乎配置用户和计算机会非常耗时且复杂。
您的一些标签看起来像库存类型的项目。我想知道是否有更好的解决方案,也许像 sysadmin1138 推荐的 WMI 脚本。
我还想知道,如果用户现在分成 15 至 20 个组,登录时间对用户有何影响。
总的来说,这是一个好主意,我只是不确定这是否是实现你想要的结果的方法。