Temos um desafio em nossa empresa, onde temos pelo menos alguns locais de armazenamento diferentes para informações dos funcionários. Estamos tentando consolidar tudo isso o máximo possível para que haja um lugar onde procurar/editar informações dos funcionários, como nome, endereço e número de telefone.
Como mais de 90% dos funcionários têm contas no Active Directory, acreditamos que o AD é um bom lugar para criar a fonte principal de informações - extrair de lá/fazer edições lá.
O restante será atualizado/extraído de um segundo sistema de RH (no entanto, o sistema de RH é limitado e não é fácil de usar para o MIS ou outra equipe que não seja de RH entrar e sair e fazer edições regularmente). Esses são funcionários de curto prazo e que provavelmente não valem o esforço de edição constante do MIS.
Portanto, estou procurando sugestões sobre como permitir que determinados usuários-chave (gerentes específicos ou equipe de RH, por exemplo) tenham acesso a algum tipo de utilitário ou interface para editar usuários do diretório ativo (ou possivelmente até mesmo adicioná-los, se possível).
No entanto, é claro que não quero permitir que qualquer funcionário que não seja do MIS possa editar as informações de acesso, como participação em grupos. Eles só deverão poder editar informações pessoais como nome, endereço, telefones e similares.
Uma possibilidade que estou analisando é o SpiceWorks - eu já uso e sincronizo com o AD. Eu sei que ele tem a capacidade de gravar alterações no AD, então talvez isso funcione. Alguém mais usa o SpiceWorks ou qualquer outro utilitário para fazer isso (ou tem outras sugestões)?
Responder1
Se você deseja delegar Modifyou writeatribuir atributos específicos. Você pode fazer isso por meio do Assistente de Delegação do Active Directory. Você criaria um grupo para RH e delegaria as permissões apropriadas a eles. Eles poderiam então editar as informações usando o ADUC ou você poderia escrever uma interface web personalizada, o que não é tão difícil de fazer se você não quiser que eles usem o ADUC por algum motivo.
Responder2
Bem, falando sério - quem pensa que o AD é um bom banco de dados de origem para administrar suas informações centrais de RH é alguém que você deveria receber uma recomendação... uma para trabalhar para seu concorrente (também conhecido como demiti-lo).
É um nível muito baixo e técnico para um sistema mestre do lado comercial lógico.
Eu acho que a abordagem é brkoen - você acabará dopando toneladas de configurações com pouco ganho. AD é muito técnico, você precisa de um aplicativo lógico de nível superior.