Ich lerne ständig dazu, aber eines habe ich mich schon immer gefragt: Trägt in größeren Unternehmen die IT-Abteilung alle Neueinstellungen in das Active Directory ein bzw. erstellt sie das Exchange-Postfach oder gibt es eine Einrichtung, die es der Personalabteilung bzw. den Managern ermöglicht, neue Mitarbeiter hinzuzufügen?
Ich schätze, ich könnte etwas entwickeln, wo die Personeninformationen eingegeben und an alle notwendigen Systeme gesendet werden – aber ich frage mich, ob es dafür eine integrierte Methode gibt oder ob das nur die IT-Abteilung macht?
Ergänzung bearbeiten:
Derzeit erhalte ich eine Kopie der Informationen neuer Mitarbeiter, trage sie in alle Systeme ein (Active Directory, Zeiterfassung, Exchange usw.) und gebe die Informationen anschließend zurück.
Wir suchen nach einer besseren Methode, um dies zu erreichen. Die aktuellen Systeme, die wir verwenden, sind:
Active Directory, Microsoft Exchange, QQest Zeit- und Anwesenheitskontrolle und MySQL und dann McAfee SAS-Schutzsysteme.
QQest verfügt über eine Active Directory-Integration, aber selbst bei der Arbeit damit ist es mir nie gelungen, die Funktion vollständig zum Laufen zu bringen.
McAfee SAS hat gerade eine Funktion zur Active Directory-Integration veröffentlicht, aber ich habe gehört, dass diese noch Fehler aufweist, und warte auf eine Update-Version, bevor ich versuche, sie zu implementieren.
Ich plane, Active Directory als Anmeldeinformationen für die MySQL-Datenbank zu verwenden. Wir schreiben derzeit eine neue Version des Systems zur Verwendung damit, aber es wird noch eine Weile dauern, bis es fertig ist.
Danke.
Antwort1
Es ist durchaus möglich, eine begrenzte Anzahl von Berechtigungen zum Verwalten von Benutzerobjekten zu delegieren. Ich arbeite bei einem Bildungsdienstleister und eine unserer Abteilungen hat mit vielen Studenten zu tun, die nur für ein paar Wochen da sind und ständig kommen und gehen. Es wäre für uns eine Qual, die Konten für sie zu verwalten. Deshalb haben wir die Berechtigungen für dieses Programm an einen der Mitarbeiter delegiert.
Wir haben uns nicht dagegen entschieden, aber wir haben in die direkte Integration unseres Lohnabrechnungssystems in das AD investiert.SIF. Die Konten sollten automatisch erstellt werden können. Es gibt zwar die nötige Software dafür, aber da wir keine traditionelle Schule sind, hat sie unseren Anforderungen nicht ganz entsprochen.
Wenn Sie dies delegieren möchten, müssen Sie möglicherweise Ihre Sicherheitsanforderungen prüfen. Vielleicht können Sie die Konten von der Personalabteilung erstellen lassen, aber nicht zulassen, dass diese die Gruppenmitgliedschaft ändert. Auf diese Weise ist eine Art Anfrage an jemanden erforderlich, um zu überprüfen, ob die angeforderten Berechtigungen für diese Person gültig sind.
Antwort2
Eine meiner AD-Bereitstellungen umfasst Hunderte von Mitarbeitern im Ausland und eine Vielzahl von Projekten. Für eines der Produkte, mit denen wir arbeiten, war ebenfalls eine separate Anmeldung erforderlich, ganz ähnlich wie Sie es beschreiben.
Ich konnte keine einheitliche Möglichkeit finden, den Zugriff auf das zweite Produkt zu ermöglichen. Am Ende habe ich mich für die AD-Integration entschieden, so kitschig sie auch ist.
Die Delegierung von Berechtigungen an Mitarbeiter außerhalb von IS wurde zu einer definitiven Geschäftsanforderung. Letztendlich hatten wir mehrere Delegierungszugriffsebenen – eine, die es Nicht-IS-Benutzern ermöglicht, Projekte zu erstellen und allgemeine AD-Verwaltungsaufgaben auszuführen (beschränkt auf einen Zweig von AD) und eine andere für die Benutzerverwaltung, einschließlich neuer Benutzer, Gruppenmitgliedschaften und Kennwortzurücksetzungen.
Das Wichtigste, was ich herausgefunden habe, ist, dass es unbedingt erforderlich ist, auch Berechtigungen für Ihre Gruppen festzulegen. Bei richtiger Einrichtung können Ihre delegierten Benutzer Benutzer zwischen gemeinsamen Gruppen verschieben, ohne dass sie Berechtigungsausweitungsangriffe durchführen können.
Antwort3
Bei mir war das eine Aufgabe, die vom Systemadministrator mithilfe von Informationen erledigt wurde, die die Personalabteilung über ein Arbeitsauftrags- oder Ticketsystem bereitstellt.
Ich habe konfiguriertActive Roles Serverfür einen Helpdesk, den ich unterstützt habe und den Sie für Ihre Zwecke nutzen könnten, aber Sie müssten entscheiden, ob der Aufwand angesichts Ihrer Benutzerbasis gerechtfertigt ist.