我目前正在编写一些工作中的脚本,并且会喜欢简单的方法来input和检索用户社交号码的最后4位。 这是我们识别呼叫的主要方式。 目前,我们必须login和search我们的人力资源应用程序,这是非常麻烦的使用,并增加了一个电话的时间。 我得到pipe理层/高级工程师批准和扩展架构的几率几乎为零。 我正在考虑将这个编号写入employeeNumber属性,但不确定这样做是否有任何看不见的后果。 显然,在我们老服务台的某个人开始把这个信息input到AD的“电话”标签中,这个标签可以通过Outlook全球目录看到……pipe理员不太高兴。
这是一个不错的想法与我一起工作? 要么?…
不能通过GUI查看的employeeNumber字段仍然可以被具有AD访问权限的读者查询,如果我没有弄错的话。 尽pipe这可能比“outlook”花费更多的努力。
但说实话…这是SSN的最后四个…所以我认为你的方法,如果pipe理是好的,它是足够好的。
只要确保你不关心将来存储的实际员工ID号码。 但是,是的,如果你随便选一个号码存储在那里,那么这个东西就不会搞乱别的东西。
默认情况下,现成的模式已经包含一个employeeNumber和一个employeeID属性…
阅读属性:
PS H:\> Get-ADUser jbob -Properties EmployeeId,EmployeeNumber DistinguishedName : CN=JoeBob,OU=Users,OU=Bros,DC=contoso,DC=com EmployeeID : A1B2C3 EmployeeNumber : 1234556 Enabled : True GivenName : Joe Name : JoeBob ObjectClass : user ObjectGUID : be0e26f8-194a-4e64-bd88-e8fe31ead255 SamAccountName : jbob SID : S-1-5-21-2495528697-4433204477-8833759600-13738 UserPrincipalName : [email protected] 设置属性:
PS H:\> Set-ADUser jbob -EmployeeId $NewEmpId
我会非常小心地将员工的最后4个SSN存储在Active Directory中。 默认情况下, 所有经过身份validation的用户都可以读取此信息。 而且我个人甚至会认为,其他人的社会保险号码的最后4位值得比这更保密。
如果你要这样做,我至less会build议通过修改searchFlags属性来标记属性为机密: http : //support.microsoft.com/kb/922836