我們現在的情況是希望我們的客戶能夠自行管理他們的用戶。約有 300 名客戶,總共有 10,000 名用戶。
除了建立、更新和刪除使用者之外,他們還會經常讀取有關用戶的資訊以獲取靜態資訊和其他可用的有用資訊。所有這些功能都應該可以從 Intranet 網頁 (.NET Framework 4) 取得,使用者可以透過 Citrix 或類似的方式存取該網頁。
現在的問題是,我們真的希望用戶不要為每個請求直接查詢 AD,而是讓他們存取與 AD 同步的資料庫。每天運行幾次此同步就足夠了(也許每 5 小時一次)。當他們創建用戶時,它不應該立即可用,而是在兩天內進行審核然後創建(下一步是刪除此手動審核,但這超出了此問題的範圍)。
對於這次AD同步你怎麼看?有沒有人有這方面的經驗,是否在其他組織中做過這樣的事情,在這些組織中,您將有很多請求,而資料庫比 AD 更好地處理這些請求(我認為)?
是否有任何技術可以編寫這樣的腳本來將 AD 與資料庫表同步?我主要關心的是團體/成員的關係,這可能相當複雜。或是有沒有軟體可以將AD與資料庫同步?
任何意見將不勝感激。謝謝。
答案1
您可以設定輕量級目錄服務(以前是 ADAM),將 AD 架構和物件複製到外部 LDAP 資料庫中,使用者可以查詢並取得您正在討論的資訊。這允許您透過僅同步那些您想要發布的物件而不公開其他 AD 物件來具體說明您向外部公開的內容。
答案2
從資料庫同步 Active Directory 是一個相當常見的要求 - 不一定適合您描述的用例,但更常見的是對於使用將員工儲存在資料庫中的 HR 工具管理員工的公司。
您可以使用以下命令輕鬆地將資料庫內容同步到 ADLDAP 同步連接器 (LSC)這是為此目的定制設計的開源工具。簡而言之,這個工具將取代您可能手動編寫的腳本,減去您將遇到的錯誤,並添加各種功能以使其更容易同步。
我已經為超過 70,000 個使用者(包括群組成員)設定了從 Oracle DB 到 LDAP 伺服器的類似同步(請記住,AD 也是 LDAP 伺服器)。第一次初始化後,同步運行時間不到 10 分鐘。
無論您是否採用 LSC,您都應該對以下連結感興趣:有關與 Active Directory 同步資料或從 Active Directory 同步資料的許多技術提示。