เรา จำกัด การทำงานของ exe ทั่วทั้งองค์กร แต่ตามเหตุผลและการอนุมัติเราเพิ่มผู้ใช้ในกลุ่มโฆษณา (เฉพาะ) เป็นเวลา 24 ชั่วโมง
ขณะนี้กระบวนการลบผู้ใช้ออกจากกลุ่มโฆษณาเหล่านั้นหลังจาก X ชั่วโมงเป็นคู่มือ ฉันกำลังพยายามทำให้มันเป็นแบบอัตโนมัติ แต่ฉันสงสัยว่ามีวิธีการจัดการแบบดั้งเดิมใน AD 2003 หรือไม่การเขียนสคริปต์ (powershell / vbs) เป็นวิธีเดียวในการจัดการเรื่องนี้หรือไม่?
คำตอบ:
สมมติว่าตัวควบคุมโดเมนทั้งหมดของคุณคือ Windows Server 2003 หรือใหม่กว่าคุณสามารถทำได้ด้วยฟังก์ชันการทำงานของวัตถุไดนามิกของ Active Directory ดั้งเดิมโดยไม่ต้องมีสคริปต์
สมมติว่าบัญชีผู้ใช้ "Bob" ต้องอยู่ในกลุ่ม "การบัญชี" เป็นเวลา 24 ชั่วโมง
สร้างกลุ่ม "Bob ในการบัญชี 24 ชั่วโมง" และระบุentry-TTL24 ชั่วโมง (ระยะเวลาที่คุณต้องการให้กลุ่มยังคงอยู่ใน Active Directory) ในเวลาที่สร้าง
เพิ่ม "Bob in Accounting 24 ชั่วโมง" เป็นสมาชิกของกลุ่ม "Accounting"
เพิ่มบัญชีผู้ใช้ "Bob" เป็นสมาชิกของกลุ่ม "Bob ในการบัญชี 24 ชั่วโมง"
เมื่อเข้าสู่ระบบครั้งต่อไปของบัญชีผู้ใช้ "Bob" มันจะเป็นสมาชิกของกลุ่ม "บัญชี" ผ่านการเป็นสมาชิกกลุ่มซ้อนของกลุ่ม "Bob in Accounting 24 ชั่วโมง" ในกลุ่ม "การบัญชี" เมื่อสิ้นสุด 24 ชั่วโมงตัวควบคุมโดเมนทั้งหมดจะเก็บรวบรวมกลุ่ม "Bob in Accounting 24 ชั่วโมง" และ "Bob" จะไม่เป็นสมาชิกของ "การบัญชี" อีกต่อไป
เคล็ดลับคือวัตถุที่ไม่ใช่ไดนามิกไม่สามารถแปลงเป็นไดนามิกได้หลังจากสร้างแล้ว อย่างไรก็ตามการใช้การซ้อนกลุ่มทำให้คุณได้รับข้อ จำกัด ในกรณีนี้
คุณจะต้องใช้เครื่องมืออื่นที่ไม่ใช่ "ผู้ใช้ Active Directory และคอมพิวเตอร์" เพื่อสร้างกลุ่มเพราะคุณจะต้องตั้งค่าentry-TTLในขณะที่สร้างกลุ่ม สคริปต์ในรายการบล็อกนี้อาจจะเป็นสถานที่เริ่มต้น (มันสร้างขึ้นเพื่อสร้างวัตถุผู้ใช้) หรือหรือคุณก็สามารถใช้ldifdeหรือcsvdeจะทำอย่างไรการสร้างที่มากเกินไป
คุณสามารถจัดการกับวิธีนี้ได้สองสามวิธีโดยที่ไม่มีตัวโฆษณาพื้นเมือง:
เขียนสคริปต์และวางไว้ในตัวกำหนดตารางเวลางาน มีแบบสอบถามไฟล์ข้อความหรือ CSV บางแห่งในเครือข่ายด้วยรายการปัจจุบัน ให้ลบคนที่ไม่ได้อยู่ในรายการตอนรันไทม์
ใช้สิ่งต่างๆเช่น System Center Orchestrator เพื่อสร้าง runbook เพื่อเพิ่มผู้ใช้ในกลุ่มและเพื่อลบออกหลังจาก X ชั่วโมงโดยอัตโนมัติ
แจ้งเตือน Outlook ให้นำคนออกไปด้วยตนเอง :)