我一边学习一边做 - 但有一件事我一直想知道,在大公司中,IT 部门是否会将所有新员工输入到活动目录/创建 Exchange 邮箱,或者是否有允许人力资源/经理添加新员工的设置?
我想我可以开发一些东西,让他们输入人员信息,然后将其推送到所有必要的系统 - 但我想知道是否有一种内置方法 - 或者这只是 IT 部门所做的事情?
編輯补充:
目前,我收到了一份新员工信息的副本,将其放入所有系统(活动目录、考勤、交换等),然后返回信息。
寻找更好的方法来实现这一点。我们目前使用的系统是:
Active directory、Microsoft Exchange、QQest 考勤、MySQL,以及 mcafee SAS 保护系统。
QQest 具有活动目录集成,但即使使用它们,我也从未能够使其完全正常运行。
McAfee SAS 刚刚发布了一个活动目录集成功能,但我听说它仍然存在错误,我正在等待更新版本然后尝试实现。
我计划使用活动目录作为 mysql 数据库的登录信息,我们目前正在编写一个新版本的系统以供使用,但需要一段时间才能完成。
谢谢。
答案1
当然可以委托一组有限的权限来管理用户对象。我在一家教育服务提供商工作,我们的一个部门要处理很多只来几周的学生,他们来来往往。为他们管理帐户对我们来说很麻烦。所以我们将权限委托给了该项目的一名工作人员。
我们还没有决定不这样做,但我们一直在投资将我们的工资系统直接整合到 AD 中瑞士信贷。应该可以自动创建帐户。所有软件都可以做到这一点,但由于我们不是传统学校,所以它并不完全符合我们的要求。
如果您确实选择委派此任务,您可能需要评估您的安全要求。也许您可以让 HR 创建帐户,但不允许他们修改组成员身份。这样就需要向某人发出某种请求,以仔细检查所请求的权限是否对该人有效。
答案2
我的 AD 部署之一涉及数百名海外员工和大量项目。我们使用的其中一款产品也需要单独登录,就像您描述的一样。
我找不到统一的方式来允许访问第二个产品。最后我还是选择了他们的 AD 集成,尽管它很俗气。
将权限委托给 IS 以外的员工成为一项明确的业务需求。最终,我们拥有了几个委托访问权限级别 - 一个允许非 IS 用户创建项目并执行常规 AD 管理任务(仅限于 AD 的一个分支),另一个用于用户管理,包括新用户、组成员身份和密码重置。
我发现最重要的一点是,设置群组权限也是必不可少的。如果设置正确,您的委派用户将能够在公共群组之间移动用户,而不会执行特权升级攻击。
答案3
我曾经去过的地方将是一项由系统管理员使用人力资源部门通过工作订单或票务系统提供的信息来完成的任务。
我已经配置了活动角色服务器对于我支持的帮助台,您可以使用它来完成您想要做的事情,但您必须根据您的用户群来决定是否值得付出努力。