私は学びながら進んでいますが、いつも疑問に思っていることが 1 つあります。大企業では、IT 部門がすべての新入社員を Active Directory に入力したり、Exchange メールボックスを作成したりするのでしょうか。それとも、人事部やマネージャーが新入社員を追加できるような設定があるのでしょうか。
個人の情報を入力すると、必要なすべてのシステムにプッシュされるようなものを開発できると思いますが、組み込みのメソッドがあるかどうか、またはそれは IT 部門が行うだけのことなのか疑問に思いました。
編集追加:
現在、私は新入社員の情報のコピーを受け取り、それをすべてのシステム (Active Directory、勤怠管理、Exchange など) に入力してから、情報を返します。
これを実現するためのより良い方法を探しています。現在使用しているシステムは次のとおりです。
Active Directory、Microsoft Exchange、QQest 勤怠管理、MySQL、そして McAfee SAS 保護システム。
QQest には Active Directory 統合機能がありますが、これを使用しても完全に適切に機能させることはできませんでした。
McAfee SAS は Active Directory 統合機能をリリースしましたが、まだバグがあると聞いており、実装する前に更新バージョンを待っています。
私は、MySQL データベースのログイン情報として Active Directory を使用する予定です。現在、それに使用するシステムの新しいバージョンを作成中ですが、完成するまでにはしばらく時間がかかります。
ありがとう。
答え1
ユーザー オブジェクトを管理するために、限定された権限セットを委任することは確かに可能です。私は教育サービス プロバイダーで働いていますが、ある部門では、数週間しか在籍せず、頻繁に出入りする学生を多数扱っています。彼らのアカウントを管理するのは私たちにとっては面倒です。そこで、そのプログラムのスタッフの 1 人に権限を委任しました。
それをやらないと決めたわけではありませんが、私たちは給与計算システムをADに直接統合することに投資してきました。国際アカウントは自動的に作成できるはずです。これを行うためのソフトウェアはすべて存在しますが、当校は伝統的な学校ではないため、要件に完全には適合しませんでした。
これを委任することを選択した場合は、セキュリティ要件を評価する必要があるかもしれません。おそらく、HR にアカウントの作成を許可し、グループ メンバーシップの変更は許可しないという方法があります。その場合、要求された権限がその人物に対して有効であることを再確認するために、何らかのリクエストを誰かに送る必要があります。
答え2
私の AD 展開の 1 つには、数百人の海外従業員と多数のプロジェクトが関係しています。私たちが扱う製品の 1 つでも、おっしゃるとおり、別のログオンが必要でした。
2 番目の製品へのアクセスを許可する統一された方法を見つけることができませんでした。結局、ありきたりではありますが、AD 統合を採用することにしました。
IS 以外のスタッフに権限を委任することが、決定的なビジネス要件になりました。最終的に、委任アクセスにはいくつかのレベルがありました。1 つは、IS 以外のユーザーがプロジェクトを作成し、一般的な AD 管理タスク (AD の 1 つのブランチに限定) を実行できるようにするもので、もう 1 つは、新規ユーザー、グループ メンバーシップ、パスワードのリセットなどのユーザー管理を行うものです。
私が発見した最大のことは、グループにも権限を設定することが不可欠だということです。適切に設定すれば、委任されたユーザーは、権限昇格攻撃を実行することなく、共通グループ間でユーザーを移動できるようになります。
答え3
私がいたところでは、それは、人事部門が作業指示書またはチケット システムを通じて提供した情報を使用して、システム管理者が完了するタスクでした。
設定しましたアクティブロールサーバー私がサポートしたヘルプデスクは、あなたがしようとしていることを実行するのに使用できますが、ユーザーベースに基づいて労力が正当化されるかどうかを判断する必要があります。