AD 그룹 임시 회원


12

우리는 조직 전체에서 exe의 실행을 제한합니다. 그러나 타당성 및 승인에 따라 24 시간 동안 (특정) AD 그룹에 사용자를 추가합니다.

현재 X 시간 후에 해당 AD 그룹에서 사용자를 제거하는 프로세스는 수동입니다. 어떤 방식으로 자동화하려고합니다. 그러나 AD 2003 내에 이것을 처리하는 기본 방법이 있는지 궁금합니다. 스크립트 (powershell / vbs)를 작성하는 유일한 방법입니까?

답변:


23

모든 도메인 컨트롤러가 Windows Server 2003 이상이라고 가정하면 스크립팅없이 기본 Active Directory의 동적 개체 기능을 사용 하여이 작업을 수행 할 수 있습니다 .

사용자 계정 "Bob"이 24 시간 동안 "Accounting"그룹에 있어야한다고 가정 해 봅시다.

  • "계정 회계 24 시간"그룹을 작성하고 작성시 entry-TTL24 시간 (그룹이 Active Directory에 머무르는 기간)을 지정하십시오.

  • "회계 24 시간 계정"을 "회계"그룹의 구성원으로 추가

  • "Bob in Accounting 24 Hours"그룹의 구성원으로 "Bob"사용자 계정을 추가하십시오.

"Bob"사용자 계정의 다음 로그온시 "Bob in Accounting 24 Hours"그룹의 중첩 된 그룹 구성원을 통해 "Accounting"그룹의 구성원이됩니다. 24 시간이 지나면 모든 도메인 컨트롤러가 "계정의 계정 24 시간"그룹을 가비지 수집하고 "Bob"은 더 이상 "계정"의 구성원이되지 않습니다.

요점은 비 동적 객체는 생성 후에 동적으로 변환 할 수 없다는 것입니다. 그러나 그룹 중첩을 사용하면이 인스턴스에서 해당 제한을 해결할 수 있습니다.

그룹을 만들 때 설정해야하므로 그룹을 만들려면 "Active Directory 사용자 및 컴퓨터"이외의 도구를 사용해야합니다 entry-TTL. 이 블로그 항목스크립트 는 시작 위치 (사용자 개체를 만들기 위해 빌드 됨) 일 수도 있고, ldifde또는 사용 하거나 만들 수도 csvde있습니다.


5
이런 쓰레기, 그건 내가 몰랐어 그리고 그것은 10 살입니다.
mfinni

1
@mfinni-나는 그것을 생산에 사용한 적이 없다. 그래도 정확히 광고 된대로 작동합니다. 정말 깔끔 해요?
Evan Anderson


2
@EvanAnderson 당신은 나쁜 사람입니다.
Ryan Ries

2
당신은 모두 너무 친절합니다. 이 블로그의 기능에 대한 좋은 배경이 있습니다 ( 녀석은 정말 AD 멍청이입니다. 나는 단지 제품을 많이 사용합니다) : blogs.chrisse.se/2012/11/28/…
Evan Anderson

6

이 방법을 몇 가지 방법으로 처리 할 수 ​​있지만 AD 고유의 것은 없습니다.

  1. 스크립트를 작성하고 작업 스케줄러에 넣으십시오. 현재 목록으로 네트워크 어딘가에 텍스트 파일이나 CSV를 쿼리하도록합니다. 런타임에 해당 목록에없는 사람을 제거하십시오.

  2. System Center Orchestrator와 같은 것을 사용하여 Runbook을 만들어 사용자를 그룹에 추가하고 X 시간 후에 자동으로 제거하십시오.

  3. 사람들을 수동으로 꺼내도록 Outlook 미리 알림 만들기 :)


1
참고-Quest의 ActiveRoles 서버를 사용하여 AD 관리를 지원합니다. 지원하기 위해 추가 된 작은 워크 플로우 도구와 함께 기능이 내장되어 있습니다.
uSlackr

옵션 1을 사용하고 현재 사용자 파일로 예약 된 PowerShell 스크립트를 만드는 것이이 문제를 해결하는 좋은 방법이라고 생각합니다.
jer.salamon

5
다이나믹 오브젝트의 사이렌 노래에 저항 할 수 없습니다. 다이나믹 오브젝트!
Evan Anderson
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.