我似乎无法在网上找到对此的共识。负责编写我们文档的同事认为,从头开始创建新的 AD 帐户是“最佳实践”……在研究 AD 时,我从未在任何地方听到或读到过这种做法。我做过的每一份工作(包括在 MSP 的工作)都复制了现有帐户,以使流程更精简、更万无一失,并且通常可以消除流程中的一些人为错误。
我真的认为从头开始创建 AD 用户的唯一理由可能是确保他们没有被过度赋予权限和组成员身份……?但当然,这可以在创建帐户后简单地解决。有什么想法吗?谢谢
答案1
如果你的企业规模大于小企业,那么答案应该是两者都不。
市面上有很多工具可以管理身份的生命周期,理想情况下,您可以选择其中一种并实施它(同样,除非您是一家小型企业,否则这样做就有点小题大做了)。Microsoft Identity Manager 和 Azure AD Provisioning Services 可以连接到外部系统(想想 Workday 等 HRIS 系统),从那里获取信息,然后使用它在其他系统(如 Active Directory)中配置资源。
人力资源部门的某个人可以将新员工及其所有相关数据添加到他们的人力资源系统中,然后像 MIM 这样的程序可以获取所有这些信息(姓名、位置、职位、经理等),并根据这些信息自动创建用户,然后将他们放在适合该工作角色的正确安全组中。
答案2
在我看来,最好从头开始创建用户。
通过复制,您很有可能会复制您不想复制的属性、信息和权限。即使您在复制过程之后检查了这一点,有些事情也可能会漏掉 - 相信我,我就遇到过这种情况。我们正在做复制的事情,我不喜欢它。
我认为创建用户的最佳方式是使用 powershell 脚本来创建用户并填写所需的所有属性,并结合结构良好的组层次结构以及基于这些组的后续权限处理。这样,创建新用户的速度比复制并检查之后需要更改的内容要快得多。