Estoy aprendiendo a medida que avanzo, pero siempre me he preguntado una cosa: en las corporaciones más grandes, ¿el departamento de TI ingresa a todos los nuevos empleados en el directorio activo/crea el buzón de correo de Exchange o existe una configuración que permite a los gerentes/recursos humanos agregar nuevos ¿empleados?
Supongo que podría desarrollar algo en el que ingresen la información de las personas y la envíen a todos los sistemas necesarios, pero me preguntaba si había un método integrado, o ¿es simplemente algo que hace el departamento de TI?
Editar adición:
Actualmente recibo una copia de la información de los nuevos empleados, la coloco en todos los sistemas (directorio activo, tiempo y asistencia, intercambio, etc.) y luego devuelvo la información.
Buscando un mejor método para lograr esto. Los sistemas actuales que utilizamos son:
Directorio activo, Microsoft Exchange, QQest time and Attendance y MySQL, y luego los sistemas de protección mcafee SAS.
QQest tiene integración con el directorio activo, pero incluso trabajando con ellos nunca he podido lograr que funcione completamente correctamente.
McAfee SAS acaba de lanzar una función de integración de directorio activo, pero he oído que todavía tiene errores y estoy esperando una versión actualizada antes de intentar implementarla.
Estoy planeando usar el directorio activo como información de inicio de sesión para la base de datos mysql. Actualmente estamos escribiendo una nueva versión del sistema para usar con eso, pero la completaremos en algún momento antes.
Gracias.
Respuesta1
Ciertamente es posible delegar un conjunto limitado de privilegios para administrar objetos de usuario. Trabajo en un proveedor de servicios educativos y uno de nuestros departamentos trata con muchos estudiantes que solo están presentes durante un par de semanas y están yendo y viniendo constantemente. Sería complicado para nosotros gestionar las cuentas por ellos. Entonces delegamos privilegios a uno de los miembros del personal de ese programa.
No hemos decidido no hacerlo, pero hemos estado invirtiendo en integrar nuestro sistema de nómina directamente al AD a través deSIF. Debería ser posible que las cuentas se creen automáticamente. Todo el software existe para hacer esto, pero como no somos una escuela tradicional, no se ajustaba exactamente a nuestros requisitos.
Si decide delegar esto, es posible que deba evaluar sus requisitos de seguridad. Quizás pueda permitir que RR.HH. cree las cuentas, pero no les permita modificar la membresía del grupo. De esa manera, se requiere algún tipo de solicitud a alguien para verificar que los privilegios solicitados sean válidos para esa persona.
Respuesta2
Una de mis implementaciones de AD involucra a cientos de empleados en el extranjero y una multitud de proyectos. Uno de los productos con los que trabajamos también requería un inicio de sesión por separado, muy parecido al que usted describe.
No pude encontrar una forma unificada de permitir el acceso al segundo producto. Al final opté por su integración de AD por muy tonta que sea.
Delegar permisos al personal fuera de SI se convirtió en un requisito empresarial definitivo. Al final del día, teníamos un par de niveles de acceso delegado: uno que permite a los usuarios que no son de IS crear proyectos y realizar tareas generales de administración de AD (limitadas a una rama de AD) y otro para la administración de usuarios, incluidos nuevos usuarios, membresía de grupos y restablecimiento de contraseña.
Lo más importante que encontré es que también es imperativo establecer permisos en sus grupos. Si se configura correctamente, sus usuarios delegados podrán mover usuarios entre grupos comunes sin la capacidad de realizar ataques de escalada de privilegios.
Respuesta3
Donde he estado, esa sería una tarea que completa el administrador del sistema utilizando información proporcionada por el departamento de recursos humanos a través de una orden de trabajo o un sistema de tickets.
he configuradoServidor de funciones activaspara una mesa de ayuda que apoyé y que podría usar para hacer lo que está tratando de hacer, pero tendría que decidir si el esfuerzo se justifica en función de su base de usuarios.