我邊走邊學 - 但我一直想知道的一件事是,在大公司中,IT 部門是否會將所有新員工輸入活動目錄/創建交換郵箱,或者是否有一種設置允許人力資源/經理添加新員工僱員?
我想我可以開發一些東西,讓他們輸入人員資訊並將其推送到所有必要的系統 - 但我想知道是否有內建方法 - 或者這只是 IT 部門所做的事情?
編輯補充:
目前,我收到了新員工資訊的副本,將其放入所有系統(活動目錄、考勤、交換等)中,然後返回訊息。
尋找更好的方法來實現這一目標。我們目前使用的系統是:
Active Directory、Microsoft Exchange、QQest 考勤、MySQL,然後是 mcafee SAS 保護系統。
QQest 具有活動目錄集成,但即使使用它們,我也始終無法使其完全正常運作。
McAfee SAS 剛剛發布了活動目錄整合功能,但我聽說它仍然存在錯誤,正在等待更新版本,然後再嘗試實施。
我計劃使用活動目錄作為 mysql 資料庫的登入信息,我們目前正在編寫一個新版本的系統以供使用,但需要一段時間才能完成。
謝謝。
答案1
當然可以委託一組有限的權限來管理使用者物件。我在一家教育服務提供者工作,我們的一個部門要處理很多只待幾週的學生,而且他們不斷地來來去去。對我們來說,為他們管理帳戶會很痛苦。因此,我們將特權授予了該計劃的一名工作人員。
我們還沒有決定不這樣做,但我們一直在投資,透過以下方式將我們的薪資系統直接整合到 AD 中:SIF。應該可以自動建立帳戶。所有軟體的存在都是為了做到這一點,但由於我們不是傳統學校,它並不完全符合我們的要求。
如果您確實選擇委託此操作,您可能需要評估您的安全要求。也許您可以讓 HR 建立帳戶,但不允許他們修改群組成員資格。這樣,就需要向某人發出某種請求,以仔細檢查所要求的權限對該人是否有效。
答案2
我的一項 AD 部署涉及數百名海外員工和眾多專案。正如您所描述的那樣,我們使用的產品之一也需要單獨登入。
我無法找到允許存取第二個產品的統一方法。最後我還是選擇了他們做作的 AD 整合。
將權限委派給 IS 外部的員工成為明確的業務要求。最終,我們擁有了幾個層級的委託存取權限- 一個層級允許非IS 使用者建立專案並執行一般AD 管理任務(僅限於AD 的一個分支),另一個層級用於使用者管理,包括新使用者、群組成員資格和密碼重置。
我發現最重要的是,也必須為您的群組設定權限。如果設定正確,您的委派用戶將能夠在公共群組之間移動用戶,而無法執行權限升級攻擊。
答案3
在我所在的地方,這將是由系統管理員使用人力資源部門透過工單或票證系統提供的資訊來完成的任務。
我已經配置了活動角色伺服器對於我支持的幫助台,您可以使用它來完成您想要做的事情,但您必須根據您的用戶群來決定這項工作是否合理。