AD-tilien käyttöönoton ohjaaminen eAdm
Monien organisaatioiden on valvottava, mitkä käyttäjät saavat automaattisesti Active Directory (AD) -tilin. Tässä oppaassa kerrotaan, miten eAdm voidaan käyttää tiettyä käyttöoikeutta AD-tilien luomisen hallintaan ja varmistaa, että vain nimetyt käyttäjät saavat tilin automaattisesti.
Tämä menetelmä on hyödyllinen useissa yleisissä tilanteissa:
Työntekijätyyppien erottelu: Luo AD-tilit automaattisesti vakituisille työntekijöille, mutta vaadi esimiehiä myöntämään käyttöoikeudet manuaalisesti tilapäisille tai tuntityöntekijöille.
Olemassa olevien käyttäjien hallinta: Kun siirryt eAdm, voit estää järjestelmää luomasta automaattisesti AD-tunnuksia nykyisille työntekijöille, jotka eivät ole aiemmin tarvinneet niitä.
Seuraavassa menettelyssä tätä prosessia ohjataan "Aktiivinen käyttäjätili" -nimisen käyttöoikeuden avulla.
Menettely
Noudata seuraavia ohjeita määrittääksesi eAdm hallitsemaan AD-tilien käyttöönottoa käyttöoikeuden kautta.
Vaihe 1: Luo "Aktiivinen käyttäjätili" -oikeus.
Luo ensin uusi käyttöoikeus, jota käytetään AD-käyttöoikeuksien myöntämiseen.
Siirry eAdm käyttöoikeuksien hallinta-alueelle.
Luo uusi käyttöoikeus. Määritä käyttöoikeuksien luettelossa sen tiedot. Tässä oppaassa käytetään seuraavaa esimerkkiä:
Nimi:
Aktiv brukerkonto(Aktiivinen käyttäjätili)ID:
8394(Huomautus: Järjestelmä antaa tunnuksen automaattisesti; tässä oppaassa käytetään esimerkkinä tunnusta 8394).
Määritä tämä käyttöoikeus ryhmittelyyn, joka on esimiesten tai muiden valtuutettujen henkilöiden käytettävissä, jotka vastaavat käyttöoikeuksien manuaalisesta myöntämisestä.
Vaihe 2: Automaattisten määrityssääntöjen määrittäminen
Määritä seuraavaksi säännöt, joille käyttäjille annetaan automaattisesti "Aktiivinen käyttäjätili" -oikeus. Voit esimerkiksi määrittää säännön, jonka mukaan oikeus annetaan vain eAdm käyttöönottopäivän jälkeen palkatuille työntekijöille.
Avaa "Aktiivinen käyttäjätili" -oikeutta koskeva sääntökokonaisuus.
Luo sääntöjä automaattisten määritysperusteiden määrittämiseksi.
Vaihe 3: Päivitä AD:n Active Users Sync Template -malli.
Muokkaa aktiivisten AD-käyttäjien synkronointimallia siten, että se edellyttää "Aktiivinen käyttäjätili" -oikeutta. Näin varmistetaan, että vain käyttäjät, joilla on tämä oikeus, luodaan tai pidetään aktiivisina AD:ssä.
Etsi aktiivisten AD-käyttäjien synkronointimalliin liittyvä sääntökokonaisuus.
Lisää uusi sääntö, joka edellyttää, että käyttäjällä on "Aktiivinen käyttäjätili" -oikeus. Käytät luvan yksilöllistä tunnusta vaiheesta 1. Tämä sääntö tarkistaa, että käyttäjällä on oikeus tunnuksella 8394.
Vaihe 4: Päivitä Deaktivoitujen käyttäjien AD-synkronointimalli.
Päivitä lopuksi deaktivoitujen käyttäjien synkronointimalli. Tämä sääntö varmistaa, että kun käyttäjältä poistetaan "Aktiivinen käyttäjätili" -oikeus, hänen AD-tilinsä poistetaan automaattisesti käytöstä.
Etsi deaktivoitujen käyttäjien synkronointimallin sääntökokonaisuus.
Lisää sääntöyhdistelmä, joka tunnistaa käyttäjät, jotka ovat menettäneet "Aktiivinen käyttäjätili" -oikeuden.
Tämän sääntökokonaisuuden logiikkana on löytää käyttäjät, jotka:
Niitä ei ole merkitty poistetuiksi lähdejärjestelmässä.
Sinulla ei ole tällä hetkellä "Aktiivinen käyttäjätili" -oikeutta.
Aikaisemmin hänellä oli "Aktiivinen käyttäjätili" -oikeus (kuten hänen kohdehistoriassaan on kirjattu).
Tämä logiikka voidaan rakentaa sääntökokonaisuuteen seuraavasti:
// Condition 1: The user is NOT marked for deletion.
Slettet | Har ikke verdi
// OR
// Condition 2: A multi-part condition to identify a lost permission.
(
// The user does NOT currently have the permission (ID 8394).
[OBJECTPERMISSION.SYSTEMROLE;Name;Id;8394] | Har ikke verdi
AND
// The user's history shows they PREVIOUSLY had the permission (ID 8394).
[OBJECTHISTORIES;OldValue;OldValue;8394] | Er lik | 8394
)
Huomautus: Muista määrittää "Aktiivinen käyttäjätili" -oikeus manuaalisesti kaikille nykyisille käyttäjille, jotka tarvitsevat AD-tilin mutta eivät täytä vaiheessa 2 määritettyjä automaattisen määrityksen kriteerejä.