e作者bernachom (Terry)
看板MIS
标题[讨论] active directory帐号停用
时间Sat Sep 12 19:31:52 2015
各位前辈好
请教一下
目前接到一个消息,就是要去把active directory帐号已离职的员工做停用。
但是希望系统能够自动去停用。
我上网查了一些资讯。
sql server可以连到active directory中,但是好像只支援read-only,所以就
没办法把帐号改成停用了?
另一个就是写程式,目前查到有c#的程式,不过可能要改写,现在还在研究..如何自动化
。
因为是第一次做这个东西,想先询问前辈们,
如果您也是自动将active directory帐号停用的话,是采用什麽方式进行的呢?
希望能参考一下做法,谢谢您
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.228.181.131
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1442057515.A.0A1.html
1F:推 punding: 离职人员跟一般人员在AD中有什麽不一样吗?例如会被移到某09/12 20:35
2F:→ punding: OU,或是AD内某栏位的值不一样?09/12 20:35
AD帐号的话,可以设定帐号停用和启用。
离职人员的话,会存在资料库的HR资料表里面,
我一开始想法是,用SQL SERVER去连AD主机,读出AD帐号的资料表和HR资料表做JOIN
就可以知道哪些帐号是已经离职了,就可以UPDATE AD帐号的TABLE,改为停用。
不过有查过一些文章,好像是说,微软让SQL SERVER连到AD主机,好像只有READ-ONLY
,这就变得有点麻烦了...冏
※ 编辑: bernachom (36.228.181.131), 09/12/2015 21:23:48
3F:→ deadwood: 写程式从AD server去查SQL server资料找出离职帐号 09/12 22:52
4F:推 liskenny: PowerShell?09/12 22:52
5F:→ deadwood: 然後根据这些资料去把帐号停权如何?09/12 22:53
6F:推 punding: SQL将离职AD捞出存成.csv,再import给powershell直接停用09/12 23:04
7F:→ punding: 这个方向会不会比较简单一点?09/12 23:04
8F:→ Dino9021: 我用vbs去sql捞出资料然後跑command做需要的事09/13 07:09
POWERSHELL没有写过,不过应该是可以尝试的方向。
我再查查 相关的文章,有问题在问问,谢谢:)
※ 编辑: bernachom (36.228.181.131), 09/13/2015 07:13:04
9F:→ Dino9021: 我做的东西规模比你大很多,要做整个组织架构按照部门阶09/13 07:16
10F:→ Dino9021: 级建立巢状群组,把员工帐号塞进去,然後还要为群组建出09/13 07:17
11F:→ Dino9021: 我做的东西规模比你大很多,要做整个组织架构按照部门阶09/13 07:17
12F:→ Dino9021: 级建立巢状群组,把员工帐号塞进去,然後还要为群组建立 09/13 07:17
13F:→ Dino9021: group mail外加组织最上阶不同的人不能寄信到其他单位的09/13 07:17
14F:→ Dino9021: group mail,除此之外判断员工是否离职、部门名称异动等 09/13 07:17
15F:→ Dino9021: 等09/13 07:17
16F:→ Dino9021: 但我建议停用帐号这件事情最好是手动做,因为量可能比较 09/13 07:19
17F:→ Dino9021: 大,你可以用程式跑报表出来告诉你哪些帐号是要停用的寄09/13 07:19
18F:→ Dino9021: 给人事确认09/13 07:19
原本我就希望寄个报表,然後用手动的方式去停用..
但是主管好像认为自动化比较好...这部份就照办就好了..我也就不想去说了..
不过想询问前辈,您也是用POWERSHELL写程式,抓出停用的帐号吗?
谢谢您
※ 编辑: bernachom (36.228.181.131), 09/13/2015 10:14:27
19F:推 littlecut: 停用为什麽要自动化? 每天超多人离职XD?09/13 10:30
主管觉得,,,自动化就不用理他了,,
※ 编辑: bernachom (42.78.229.3), 09/13/2015 11:30:09
20F:推 lovespre: 流程怎麽跑? 纸本或电子收到还是要人去做不是吗? 09/13 12:00
21F:推 epenpal: 写console application 一边捞SQL 一边call powershell 09/13 12:05
22F:推 punding: littlecut有讲到重点,这真的需要吗?XD 09/13 12:11
主管想要自动化,不理他吗...冏
流程,应该是HR会把人事资料做离职,
然後我就每天去执行排程,看哪些人离职,然後把帐号停掉..
,然後我心中还是个小小的问题,离职人员量大跟量小,和要不要自动停用
,这个会有差别吗?? 谢谢
※ 编辑: bernachom (36.228.181.131), 09/13/2015 14:29:03
※ 编辑: bernachom (36.228.181.131), 09/13/2015 14:54:34
23F:→ jashking: 以前做过电销人员的离职处理,系统会产出LIST,再用批次停 09/13 15:02
24F:→ jashking: 用就可以了,可是那是量大的时候 一个礼拜2ˋ30个,LIST 09/13 15:03
25F:→ jashking: 由电销中心的HR负责产出,资讯部做事,最好还是由别人 09/13 15:03
26F:→ jashking: 给你资料,照着资料做,不是自己出资料给人确认 09/13 15:04
您好:
批次停用也是系统自动执行罗?
其实理论上应该是要由HR给离职资料才是,
不过...主管说的,就不想争了= =
※ 编辑: bernachom (36.228.181.131), 09/13/2015 15:34:24
27F:→ Dino9021: 我有说我是用 CBS 读 SQL 然後再下 command 啊 XD 09/13 17:19
28F:→ Dino9021: auto correct , vbs 不是 cbs 09/13 17:20
您好
您是说,用command连到ad主机?去做帐号的停用吗?
还是您说的command是power shell 呢?@@
※ 编辑: bernachom (61.231.24.152), 09/13/2015 17:58:27
29F:推 Forgotsome: AD有批次功能指令,可以查一下 09/13 18:08
您好
我知道批次档.BAT
您指的批次功能指令指的是?
因为我不知道要用什麽关建字去找...谢谢您了
※ 编辑: bernachom (61.231.24.152), 09/13/2015 18:10:17
31F:→ bernachom: 好,先记下了,谢谢:) 09/13 18:16
32F:→ punding: 如果三个月只有一个人离职,你还要每天跑流程去检查? 09/13 21:06
33F:→ punding: 不是主管的所有需求都要照办啊,总要想想合理性跟风险 09/13 21:07
34F:→ punding: 他哪天要你把DC都关闭,你要照着做吗?不合理嘛 09/13 21:08
35F:→ punding: 又,万一你的程式或指令把在职的人员停用/删除,这些责任 09/13 21:09
36F:→ punding: 你要扛吗? 我觉得你遇到的问题要回到这个需求的起点才有 09/13 21:10
37F:→ punding: 答案。 09/13 21:10
38F:→ Dino9021: ad 管理的 command Google 一下就有了 09/13 21:50
谢谢楼上前辈指导:)
唉~因为还是菜鸟,就只能先照办了...菜鸟的难处...冏
不过前辈的经验我都有记下来,希望有机会也能和主管讨论一下
TECHNET记下来了,谢谢:)
※ 编辑: bernachom (36.228.181.131), 09/13/2015 22:03:31
40F:推 Forgotsome: jeffwang0211.blogspot.tw/2014/01/ad.html?m=1。关键 09/14 02:01
41F:→ Forgotsome: 字 AD批次停用/修改,都能做到你要的,先决定离职人员 09/14 02:01
42F:→ Forgotsome: 清单,给HR确认,把清单喂给程式进,结案 09/14 02:01
43F:推 punding: 改一下上面流程,离职人员名单一定是HR给,不要揽在自己 09/14 11:35
44F:→ punding: 身上,谁都没办法保证不出事情,至少责任不是IT扛 09/14 11:36
45F:推 asdfghjklasd: 我是HR想搞你,就让你自己把Admin,IT 帐号,老板 09/14 11:51
46F:→ asdfghjklasd: 的帐号全自动关掉 09/14 11:51
47F:→ deadwood: 真的,一个自动想法很简单,但是背後牵扯到很多别的东西 09/14 15:36
48F:→ deadwood: 像上面几位提到出问题的责任归属,最好先想清楚再执行 09/14 15:38
家家有本难念的经呀...冏
※ 编辑: bernachom (114.25.211.76), 09/14/2015 21:30:30
49F:推 shadow0828: 提出一个想法简单 但挑战固定架构又限制时间... 09/15 09:04