우리는 조직 전체에서 exe의 실행을 제한합니다. 그러나 타당성 및 승인에 따라 24 시간 동안 (특정) AD 그룹에 사용자를 추가합니다.
현재 X 시간 후에 해당 AD 그룹에서 사용자를 제거하는 프로세스는 수동입니다. 어떤 방식으로 자동화하려고합니다. 그러나 AD 2003 내에 이것을 처리하는 기본 방법이 있는지 궁금합니다. 스크립트 (powershell / vbs)를 작성하는 유일한 방법입니까?
답변
모든 도메인 컨트롤러가 Windows Server 2003 이상이라고 가정하면 스크립팅없이 기본 Active Directory의 동적 개체 기능을 사용 하여이 작업을 수행 할 수 있습니다 .
사용자 계정 “Bob”이 24 시간 동안 “Accounting”그룹에 있어야한다고 가정 해 봅시다.
-
“계정 회계 24 시간”그룹을 작성하고 작성시
entry-TTL24 시간 (그룹이 Active Directory에 머무르는 기간)을 지정하십시오. -
“회계 24 시간 계정”을 “회계”그룹의 구성원으로 추가
-
“Bob in Accounting 24 Hours”그룹의 구성원으로 “Bob”사용자 계정을 추가하십시오.
“Bob”사용자 계정의 다음 로그온시 “Bob in Accounting 24 Hours”그룹의 중첩 된 그룹 구성원을 통해 “Accounting”그룹의 구성원이됩니다. 24 시간이 지나면 모든 도메인 컨트롤러가 “계정의 계정 24 시간”그룹을 가비지 수집하고 “Bob”은 더 이상 “계정”의 구성원이되지 않습니다.
요점은 비 동적 객체는 생성 후에 동적으로 변환 할 수 없다는 것입니다. 그러나 그룹 중첩을 사용하면이 인스턴스에서 해당 제한을 해결할 수 있습니다.
그룹을 만들 때 설정해야하므로 그룹을 만들려면 “Active Directory 사용자 및 컴퓨터”이외의 도구를 사용해야합니다 entry-TTL. 이 블로그 항목 의 스크립트 는 시작 위치 (사용자 개체를 만들기 위해 빌드 됨) 일 수도 있고, ldifde또는 사용 하거나 만들 수도 csvde있습니다.
답변
이 방법을 몇 가지 방법으로 처리 할 수 있지만 AD 고유의 것은 없습니다.
-
스크립트를 작성하고 작업 스케줄러에 넣으십시오. 현재 목록으로 네트워크 어딘가에 텍스트 파일이나 CSV를 쿼리하도록합니다. 런타임에 해당 목록에없는 사람을 제거하십시오.
-
System Center Orchestrator와 같은 것을 사용하여 Runbook을 만들어 사용자를 그룹에 추가하고 X 시간 후에 자동으로 제거하십시오.
-
사람들을 수동으로 꺼내도록 Outlook 미리 알림 만들기 🙂