Я учусь по ходу дела, но меня всегда интересовало одно: в крупных корпорациях ИТ-отдел вносит ли всех новых сотрудников в Active Directory/создает ли почтовый ящик Exchange или существует настройка, которая позволяет отделу кадров/менеджерам добавлять новых сотрудников?
Полагаю, я мог бы разработать что-то, где они будут вводить информацию о людях, и эта информация будет передаваться во все необходимые системы, но мне интересно, есть ли какой-то встроенный метод или это просто то, чем занимается ИТ-отдел?
Редактировать Дополнение:
В настоящее время мне выдают копию информации о новых сотрудниках, я вношу ее во все системы (Active Directory, учет рабочего времени, Exchange и т. д.), а затем возвращаю информацию.
Ищем лучший метод для достижения этого. Текущие системы, которые мы используем:
Active Directory, Microsoft Exchange, QQest Time and Attendance и MySQL, а также системы защиты McAfee SAS.
У QQest есть интеграция с Active Directory, но даже работая с ними, мне так и не удалось заставить ее работать должным образом.
McAfee SAS только что выпустила функцию интеграции с Active Directory, но я слышал, что в ней все еще есть ошибки, и я жду обновленной версии, прежде чем пытаться ее реализовать.
Я планирую использовать Active Directory в качестве данных для входа в базу данных MySQL. В настоящее время мы пишем новую версию системы для использования с ней, но работа будет завершена нескоро.
Спасибо.
решение1
Конечно, можно делегировать ограниченный набор привилегий для управления объектами пользователей. Я работаю в образовательной компании, и один из наших отделов имеет дело с большим количеством студентов, которые присутствуют только пару недель, и они постоянно приходят и уходят. Для нас было бы мучением управлять их учетными записями. Поэтому мы делегировали привилегии одному из сотрудников этой программы.
Мы не решили не делать этого, но мы инвестировали в интеграцию нашей системы расчета заработной платы непосредственно в AD черезСИФ. Должна быть возможность автоматического создания учетных записей. Для этого существует все программное обеспечение, но поскольку мы не являемся традиционной школой, оно не совсем соответствовало нашим требованиям.
Если вы решите делегировать это, вам, возможно, придется оценить свои требования безопасности. Возможно, вы можете позволить HR создавать учетные записи, но не разрешать им изменять членство в группах. Таким образом, потребуется запрос кому-то, чтобы дважды проверить, действительны ли запрашиваемые привилегии для этого человека.
решение2
Одно из моих развертываний AD включает сотни зарубежных сотрудников и множество проектов. Один из продуктов, с которыми мы работаем, также требует отдельного входа, как вы и описываете.
Я не смог найти унифицированный способ разрешить доступ ко второму продукту. В конце концов я пошел с их интеграцией AD, такой же фальшивой, как и она.
Делегирование разрешений сотрудникам за пределами IS стало определяющим бизнес-требованием. В конце концов, у нас было несколько уровней доступа делегатов — один, который позволяет пользователям, не являющимся IS, создавать проекты и выполнять общие задачи по управлению AD (ограниченные одной ветвью AD), а другой — для управления пользователями, включая новых пользователей, членство в группах и сброс паролей.
Самое важное, что я обнаружил, это то, что крайне важно также устанавливать разрешения для ваших групп. Если все настроено правильно, ваши делегированные пользователи смогут перемещать пользователей между общими группами без возможности проводить атаки повышения привилегий.
решение3
Там, где я работал, эту задачу выполнял системный администратор, используя информацию, предоставленную отделом кадров через систему рабочих заданий или тикетов.
Я настроилСервер активных ролейдля службы поддержки, которую я поддержал, которую вы могли бы использовать для решения своих задач, но вам придется решать, оправданы ли эти усилия, исходя из вашей пользовательской базы.