AD 그룹 임시 회원

우리는 조직 전체에서 exe의 실행을 제한합니다. 그러나 타당성 및 승인에 따라 24 시간 동안 (특정) AD 그룹에 사용자를 추가합니다.

현재 X 시간 후에 해당 AD 그룹에서 사용자를 제거하는 프로세스는 수동입니다. 어떤 방식으로 자동화하려고합니다. 그러나 AD 2003 내에 이것을 처리하는 기본 방법이 있는지 궁금합니다. 스크립트 (powershell / vbs)를 작성하는 유일한 방법입니까?

모든 도메인 컨트롤러가 Windows Server 2003 이상이라고 가정하면 스크립팅없이 기본 Active Directory의 동적 개체 기능을 사용 하여이 작업을 수행 할 수 있습니다 .

사용자 계정 "Bob"이 24 시간 동안 "Accounting"그룹에 있어야한다고 가정 해 봅시다.

• "계정 회계 24 시간"그룹을 작성하고 작성시 entry-TTL24 시간 (그룹이 Active Directory에 머무르는 기간)을 지정하십시오.

• "회계 24 시간 계정"을 "회계"그룹의 구성원으로 추가

• "Bob in Accounting 24 Hours"그룹의 구성원으로 "Bob"사용자 계정을 추가하십시오.

"Bob"사용자 계정의 다음 로그온시 "Bob in Accounting 24 Hours"그룹의 중첩 된 그룹 구성원을 통해 "Accounting"그룹의 구성원이됩니다. 24 시간이 지나면 모든 도메인 컨트롤러가 "계정의 계정 24 시간"그룹을 가비지 수집하고 "Bob"은 더 이상 "계정"의 구성원이되지 않습니다.

요점은 비 동적 객체는 생성 후에 동적으로 변환 할 수 없다는 것입니다. 그러나 그룹 중첩을 사용하면이 인스턴스에서 해당 제한을 해결할 수 있습니다.

그룹을 만들 때 설정해야하므로 그룹을 만들려면 "Active Directory 사용자 및 컴퓨터"이외의 도구를 사용해야합니다 entry-TTL. 이 블로그 항목 의 스크립트 는 시작 위치 (사용자 개체를 만들기 위해 빌드 됨) 일 수도 있고, ldifde또는 사용 하거나 만들 수도 csvde있습니다.

이 방법을 몇 가지 방법으로 처리 할 수 ​​있지만 AD 고유의 것은 없습니다.

1. 스크립트를 작성하고 작업 스케줄러에 넣으십시오. 현재 목록으로 네트워크 어딘가에 텍스트 파일이나 CSV를 쿼리하도록합니다. 런타임에 해당 목록에없는 사람을 제거하십시오.

2. System Center Orchestrator와 같은 것을 사용하여 Runbook을 만들어 사용자를 그룹에 추가하고 X 시간 후에 자동으로 제거하십시오.

3. 사람들을 수동으로 꺼내도록 Outlook 미리 알림 만들기 :)