我正在学习 – 但我一直想知道的是,在大公司中,IT部门将所有新员工都input到活动目录/创build交换邮箱,或者是否有一个允许人力资源/经理添加新的雇员?
我想我可以开发一些他们input个人信息的东西,并且推向所有必要的系统 – 但是我想知道是否有内置的方法 – 或者只是IT部门所做的一些事情?
编辑添加:
目前我得到一份新员工的信息,把它们放到所有系统(活动目录,考勤,交stream等)中,然后返回信息。
寻找一个更好的方法来完成这一点。 目前我们使用的系统是:
活动目录,Microsoft Exchange,QQest时间和考勤,以及MySQL,然后是mcafee SAS保护系统。
QQest已经集成了主动目录,但是即使使用它们,我也从来没有能够正常工作。
McAfee SAS刚刚发布了一个活动目录集成function,但是我听说它仍然存在缺陷,并且在尝试实施之前正在等待更新版本。
我正在计划使用活动目录作为mysql数据库的login信息,目前我们正在编写一个新版本的系统供其使用,但会在完成之前的某个时间。
谢谢。
当然可以委托一些有限的权限来pipe理用户对象。 我在教育服务提供者工作,我们的部门处理很多只在场的学生,他们不断地来来往往。 pipe理账户对我们来说是痛苦的。 所以我们把权限下放给那个程序的其中一个人员。
我们还没有决定不这样做,但是我们一直在通过SIF直接把我们的工资系统集成到AD中。 应该可以自动创build账户。 所有的软件都存在这样做,但由于我们不是传统的学校,它不完全符合我们的要求。
如果您确实select委派这个,您可能需要评估您的安全要求。 也许你可以让HR创build账户,但不允许他们修改组员资格。 这样就需要某人向某人请求重新检查请求的特权对该人有效。
我的一个AD部署涉及数百名海外员工和众多项目。 我们一起工作的产品还需要单独login,就像您所描述的那样。
我无法find一个统一的方式来访问第二个产品。 最后,我把他们的广告整合当成了老板。
将权限委托给IS之外的工作人员成为了一个明确的业务需求。 在这一天结束的时候,我们有一个代表访问的级别 – 允许非IS用户创build项目,执行一般ADpipe理任务(限于AD的一个分支),另一个用于用户pipe理,包括新用户,组成员和密码重置。
我发现的最大的问题是,在你的组上设置权限也是必须的。 如果设置正确,委派的用户将能够在普通组之间移动用户,而无需执行特权升级攻击。
我一直以来都是由系统pipe理员使用人力资源部门通过工作单或售票系统提供的信息完成的任务。
我已经configuration了Active Roles Server作为我所支持的服务台,您可以使用它来做您正在尝试做的事情,但是您必须根据您的用户群决定是否合理。