विज्ञापन समूह को अस्थायी सदस्यता


12

हम संगठन में निर्वासन के चलने को प्रतिबंधित करते हैं। लेकिन औचित्य और अनुमोदन के आधार पर हम उपयोगकर्ताओं को 24 घंटे के लिए (विशिष्ट) AD समूहों में जोड़ते हैं।

वर्तमान में X घंटे के बाद उन AD समूहों से उपयोगकर्ताओं को हटाने की प्रक्रिया मैनुअल है। मैं इसे कुछ फैशन में स्वचालित करने की कोशिश कर रहा हूं। लेकिन मैं सोच रहा था कि क्या ईस्वी सन् 2003 के भीतर इसे संभालने का कोई मूल तरीका है। क्या कोई स्क्रिप्ट (शक्तियां / वीबीएस) इसे संभालने का एकमात्र तरीका है?

जवाबों:


23

मान लें कि आपके सभी डोमेन नियंत्रक विंडोज सर्वर 2003 हैं या बाद में आप बिना किसी स्क्रिप्टिंग के देशी सक्रिय निर्देशिका की गतिशील वस्तुओं की कार्यक्षमता के साथ ऐसा कर सकते हैं ।

मान लीजिए कि एक उपयोगकर्ता खाते, "बॉब" को 24 घंटे के लिए "लेखा" समूह में होना चाहिए।

  • सृजन के समय एक "बॉब इन अकाउंटिंग 24 ऑवर्स" समूह बनाएं और entry-TTL24 घंटे के लिए निर्दिष्ट करें (निर्माण की अवधि के दौरान आप जिस समूह को सक्रिय निर्देशिका में रहना चाहते हैं)।

  • "अकाउंटिंग" समूह के सदस्य के रूप में "बॉब इन अकाउंटिंग 24 ऑवर्स" जोड़ें

  • "बॉब इन अकाउंटिंग 24 घंटे" समूह के सदस्य के रूप में "बॉब" उपयोगकर्ता खाता जोड़ें

"बॉब" उपयोगकर्ता खाते के अगले लॉगऑन पर "अकाउंटिंग" समूह में "बॉब इन अकाउंटिंग 24 ऑवर्स" समूह के नेस्टेड ग्रुप सदस्यता के माध्यम से "अकाउंटिंग" समूह का सदस्य होगा। 24 घंटे के अंत में सभी डोमेन नियंत्रक "बॉब इन अकाउंटिंग 24 ऑवर्स" समूह में कचरा इकट्ठा करेंगे और "बॉब" अब "अकाउंटिंग" का सदस्य नहीं होगा।

चाल यह है कि गैर-गतिशील वस्तुओं को उनके निर्माण के बाद गतिशील में परिवर्तित नहीं किया जा सकता है। हालाँकि, समूह नेस्टिंग का उपयोग करना आपको इस उदाहरण में सीमा के आसपास मिलता है।

समूह बनाने के लिए आपको "सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटर" के अलावा एक उपकरण का उपयोग करना होगा क्योंकि आपको entry-TTLसमूह के निर्माण के समय सेट करना होगा । इस ब्लॉग प्रविष्टि में स्क्रिप्ट शुरूआती स्थान हो सकता है (यह उपयोगकर्ता वस्तुओं को बनाने के लिए बनाया गया है) या वैकल्पिक रूप से, आप बस इस्तेमाल कर सकते हैं ldifdeया csvdeभी निर्माण करने के लिए,।


5
पवित्र बकवास, वह ऐसी चीज है जिसके बारे में मुझे नहीं पता था। और यह 10 साल पुराना है।
mfinni

1
@mfinni - मैंने इसे कभी भी उत्पादन में उपयोग नहीं किया है। यह बिल्कुल विज्ञापन के रूप में काम करता है, यद्यपि। बहुत साफ, एह?
इवान एंडरसन


2
@EvanAnderson आप एक बदमाश हैं।
रयान रीस

2
तुम सब बहुत दयालु हो। इस ब्लॉग में फ़ीचर पर कुछ बहुत अच्छी पृष्ठभूमि है ( यह आदमी वास्तव में एक ई.पू. बदमाश है - मैं अभी उत्पाद का उपयोग करता हूँ): blogs.chrisse.se/2012/11/28/…
इवान एंडरसन

6

आप इसे कुछ तरीकों से संभाल सकते हैं, कोई भी AD के मूल निवासी नहीं हैं:

  1. एक स्क्रिप्ट लिखें और इसे कार्य शेड्यूलर में डालें। वर्तमान सूची के साथ नेटवर्क पर कहीं एक पाठ फ़ाइल या CSV की क्वेरी करें। क्या यह लोगों को रनटाइम के दौरान उस सूची में नहीं हटाता है।

  2. समूह में उपयोगकर्ताओं को जोड़ने और X घंटे के बाद स्वचालित रूप से उन्हें हटाने के लिए रनबुक बनाने के लिए सिस्टम सेंटर आर्केस्ट्रा जैसे कुछ का उपयोग करें।

  3. मैन्युअल रूप से लोगों को बाहर निकालने के लिए एक आउटलुक रिमाइंडर बनाएं :)


1
FYI करें - हम AD प्रबंधन के साथ सहायता के लिए क्वेस्ट के ActiveRoles सर्वर का उपयोग करते हैं। इसमें क्षमता है जो सहायता के लिए जोड़े गए थोड़े वर्कफ़्लो टूल के साथ बनाई गई है।
uSlackr

मुझे लगता है कि विकल्प 1 का उपयोग करना और वर्तमान उपयोगकर्ताओं की फ़ाइल के साथ एक अनुसूचित PowerShell स्क्रिप्ट बनाना, इसे हल करने का एक अच्छा तरीका है।
jer.salamon

5
आप गतिशील वस्तुओं ... मोहक वस्तुओं के मोहिनी गीत का विरोध नहीं कर सकते!
इवान एंडरसन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.