나는 진행하면서 배우고 있지만 항상 궁금했던 한 가지는 대기업의 경우 IT 부서가 모든 신규 직원을 Active Directory에 입력하거나 교환 사서함을 생성하는지 아니면 인사/관리자가 새 직원을 추가할 수 있는 설정이 있는지입니다. 직원?
개인 정보를 입력하고 필요한 모든 시스템에 푸시하는 무언가를 개발할 수 있을 것 같습니다. 하지만 내장된 방법이 있는지 궁금합니다. 아니면 IT 부서에서 수행하는 작업인가요?
추가 편집:
현재 저는 신입사원 정보의 사본을 받아 모든 시스템(액티브 디렉토리, 근태, 교환 등)에 입력한 후 정보를 반환합니다.
이를 달성하기 위한 더 나은 방법을 찾고 있습니다. 현재 우리가 사용하는 시스템은 다음과 같습니다.
Active Directory, Microsoft Exchange, QQest 근태 관리, MySQL, 그리고 mcafee SAS 보호 시스템.
QQest에는 Active Directory 통합 기능이 있지만, 그것으로 작업하더라도 제대로 작동하도록 할 수는 없었습니다.
McAfee SAS는 방금 Active Directory 통합 기능을 출시했지만 여전히 버그가 있으며 구현을 시도하기 전에 업데이트 버전을 기다리고 있다고 들었습니다.
저는 mysql 데이터베이스의 로그인 정보로 Active Directory를 사용할 계획입니다. 현재 이를 사용하기 위한 새 버전의 시스템을 작성 중이지만 완료되기까지는 시간이 걸릴 것입니다.
감사해요.
답변1
사용자 개체를 관리하기 위해 제한된 권한 집합을 위임하는 것은 확실히 가능합니다. 저는 교육 서비스 제공업체에서 일하고 있으며, 우리 부서에서는 단지 몇 주 동안만 출석하고 끊임없이 드나드는 많은 학생들을 다루고 있습니다. 우리가 그들을 위해 계정을 관리하는 것은 고통스러울 것입니다. 그래서 우리는 해당 프로그램의 직원 중 한 명에게 권한을 위임했습니다.
우리는 이를 하지 않기로 결정하지는 않았지만 급여 시스템을 AD에 직접 통합하는 데 투자해 왔습니다.SIF. 계정이 자동으로 생성될 수 있어야 합니다. 이를 위해 모든 소프트웨어가 존재하지만 우리는 전통적인 학교가 아니기 때문에 우리의 요구 사항에 정확히 맞지 않았습니다.
이를 위임하기로 선택한 경우 보안 요구 사항을 평가해야 할 수도 있습니다. HR에서 계정을 생성하도록 허용하고 그룹 멤버십을 수정하도록 허용하지 않을 수도 있습니다. 그렇게 하면 요청된 권한이 해당 사람에게 유효한지 다시 확인하기 위해 누군가에게 일종의 요청이 필요합니다.
답변2
내 AD 배포 중 하나에는 수백 명의 해외 직원과 다양한 프로젝트가 포함됩니다. 우리가 작업하는 제품 중 하나에는 설명하신 대로 별도의 로그온이 필요했습니다.
두 번째 제품에 대한 액세스를 허용하는 통일된 방법을 찾지 못했습니다. 결국 나는 AD 통합을 있는 그대로 진행했습니다.
IS 외부 직원에게 권한을 위임하는 것이 확실한 비즈니스 요구 사항이 되었습니다. 결국 우리는 몇 가지 수준의 대리인 액세스 권한을 갖게 되었습니다. 하나는 IS가 아닌 사용자가 프로젝트를 생성하고 일반 AD 관리 작업(AD의 한 분기로 제한됨)을 수행할 수 있도록 허용하고 다른 하나는 신규 사용자, 그룹 멤버십 및 사용자 관리를 포함하는 사용자 관리를 위한 것입니다. 비밀번호 재설정.
제가 발견한 가장 큰 사실은 그룹에도 권한을 설정하는 것이 필수적이라는 것입니다. 적절하게 설정되면 위임된 사용자는 권한 상승 공격을 수행하지 않고도 일반 그룹 간에 사용자를 이동할 수 있습니다.
답변3
제가 있었던 곳에서는 작업 주문이나 티켓 시스템을 통해 HR 부서에서 제공한 정보를 사용하여 시스템 관리자가 완료하는 작업이었습니다.
내가 구성한활성 역할 서버내가 지원한 헬프 데스크는 당신이 하려는 작업을 수행하는 데 사용할 수 있지만 사용자 기반을 기반으로 그 노력이 정당한지 결정해야 합니다.