Estou aprendendo à medida que avanço - mas sempre me perguntei uma coisa: em corporações maiores, o departamento de TI insere todas as novas contratações no diretório ativo/cria a caixa de correio do Exchange ou existe uma configuração que permite que os recursos humanos/gerentes adicionem novos funcionários?
Suponho que eu poderia desenvolver algo onde eles inserem as informações das pessoas e as enviam para todos os sistemas necessários - mas eu queria saber se havia um método integrado - ou isso é apenas algo que o departamento de TI faz?
Editar adição:
Atualmente recebo uma cópia das informações dos novos funcionários, coloco-as em todos os sistemas (diretório ativo, horário e presença, troca, etc) e depois devolvo as informações.
Procurando um método melhor para fazer isso. Os sistemas atuais que usamos são:
Active Directory, Microsoft Exchange, QQest Time and Attendance e MySQL e, em seguida, sistemas de proteção McAfee SAS.
O QQest possui integração com o Active Directory, mas mesmo trabalhando com eles nunca consegui fazê-lo funcionar corretamente.
O McAfee SAS acaba de lançar um recurso de integração do Active Directory, mas ouvi dizer que ele ainda apresenta bugs e estou aguardando uma versão de atualização antes de tentar implementá-la.
Estou planejando usar o Active Directory como informações de login para o banco de dados MySQL. No momento, estamos escrevendo uma nova versão do sistema para usar com isso, mas isso será concluído algum tempo antes.
Obrigado.
Responder1
Certamente é possível delegar um conjunto limitado de privilégios para gerenciar objetos de usuário. Eu trabalho em uma prestadora de serviços educacionais e um de nossos departamentos lida com muitos alunos que ficam presentes apenas por algumas semanas e estão constantemente indo e vindo. Seria uma dor para nós gerenciar as contas deles. Portanto, delegamos privilégios a um dos funcionários desse programa.
Ainda não decidimos não fazer isso, mas estávamos investindo na integração do nosso sistema de folha de pagamento diretamente no AD viaSIF. Deve ser possível que as contas sejam criadas automaticamente. Todo o software existe para fazer isso, mas como não somos uma escola tradicional, ele não atendeu exatamente às nossas necessidades.
Se você optar por delegar isso, talvez seja necessário avaliar seus requisitos de segurança. Talvez você possa permitir que o RH crie as contas, mas não permita que eles modifiquem a associação ao grupo. Dessa forma, é necessário algum tipo de solicitação a alguém para verificar se os privilégios solicitados são válidos para essa pessoa.
Responder2
Uma das minhas implantações de AD envolve centenas de funcionários estrangeiros e uma infinidade de projetos. Um dos produtos com os quais trabalhamos também exigia um logon separado, conforme você descreve.
Não consegui encontrar uma forma unificada de permitir o acesso ao segundo produto. No final, optei pela integração do AD por mais piegas que seja.
Delegar permissões a funcionários fora do SI tornou-se um requisito comercial definitivo. No final do dia, tínhamos alguns níveis de acesso delegado - um que permite que usuários não IS criem projetos e executem tarefas gerais de gerenciamento do AD (limitado a uma ramificação do AD) e outro para gerenciamento de usuários, incluindo novos usuários, membros de grupos e redefinições de senha.
A maior coisa que descobri é que é fundamental definir permissões também em seus grupos. Se configurados corretamente, seus usuários delegados poderão mover usuários entre grupos comuns sem a capacidade de realizar ataques de escalonamento de privilégios.
Responder3
Onde estive, essa seria uma tarefa concluída pelo administrador do sistema usando informações fornecidas pelo departamento de RH por meio de uma ordem de serviço ou sistema de tickets.
eu configureiServidor de funções ativaspara um suporte técnico que apoiei, que você poderia usar para fazer o que está tentando fazer, mas teria que decidir se o esforço é justificado com base em sua base de usuários.