Ano*_*oop 12 active-directory groups
我们限制 exe 在整个组织中的运行。但根据理由和批准,我们将用户添加到(特定)AD 组 24 小时。
目前,在 X 小时后从这些 AD 组中删除用户的过程是手动的。我正在尝试以某种方式使其自动化。但我想知道在公元 2003 年是否有任何本地方式来处理这个问题。编写脚本(powershell/vbs)是处理这个问题的唯一方法吗?
Eva*_*son 23
假设您的所有域控制器都是 Windows Server 2003 或更高版本,您可以使用本机 Active Directory 的动态对象功能执行此操作,而无需编写任何脚本。
假设用户帐户“Bob”需要在“会计”组中 24 小时。
创建“Bob in Accounting 24 小时”组并在创建时指定entry-TTL24 小时(您希望该组保留在 Active Directory 中的持续时间)。
将“会计24小时鲍勃”添加为“会计”组成员
将“Bob”用户帐户添加为“Bob in Accounting 24 hours”组的成员
在“Bob”用户帐户下次登录时,它将通过“Bob in Accounting 24 Hours”组的嵌套组成员身份进入“Accounting”组,成为“Accounting”组的成员。在 24 小时结束时,所有域控制器将对“Bob in Accounting 24 Hours”组进行垃圾回收,并且“Bob”将不再是“Accounting”的成员。
诀窍是非动态对象在创建后无法转换为动态对象。但是,在这种情况下,使用组嵌套可以解决该限制。
您需要使用“Active Directory 用户和计算机”以外的工具来创建组,因为您需要在创建组时设置entry-TTL。此博客条目中的脚本可能是一个起点(它构建用于创建 User 对象),或者,您也可以使用ldifde或csvde进行创建。
您可以通过几种方式处理这个问题,没有一种是 AD 原生的:
编写脚本并将其放入任务调度程序中。让它使用当前列表查询网络上某处的文本文件或 CSV。让它在运行时删除不在该列表中的人。
使用 System Center Orchestrator 之类的工具创建 Runbook,以将用户添加到组并在 X 小时后自动删除它们。
制作 Outlook 提醒以手动带人出去:)
| 归档时间: |
|
| 查看次数: |
4177 次 |
| 最近记录: |