AD-ryhmän jäsenyyksien tuominen manuaalisina oikeuksina

Tässä oppaassa kerrotaan, miten Active Directory (AD) -ryhmän nykyiset käyttäjäjäsenyydet tuodaan eADM:ään manuaalisina oikeuksina.

Tämä prosessi on hyödyllinen sellaisten käyttöoikeuksien hallinnassa, jotka alun perin myönnettiin AD-ryhmien kautta ennen eADM:n käyttöönottoa. Kun nämä jäsenyydet muunnetaan manuaalisiksi oikeuksiksi, tukihenkilöstö ja johtajat voivat lisätä tai poistaa yksittäisten käyttäjien käyttöoikeuksia suoraan eADM-käyttöliittymässä.

Menettely

Prosessissa on kolme päävaihetta:

1. Etsi sAMAccountName AD-ryhmän eADM:ssä.

2. Vie ryhmän jäsenet AD:stä PowerShell-skriptin avulla.

3. Määritä oikeus viedyille käyttäjille eADM:ssä.

1. Etsi ryhmän sAMAccountName.

Ensin on löydettävä yksilöllinen tunniste (sAMAccountName) ryhmälle, joka hallinnoi oikeutta.

1. Siirry eADM:ssä asianomaisen järjestelmän (esim. Microsoft) pääsynvalvontamoduuliin.

2. Siirry Oikeudet-välilehdelle.

3. Napsauta tuotavaan oikeuteen liittyvän ryhmän nimeä. Alla olevassa esimerkissä etsitään "Microsoft E3" -oikeuteen liittyvää ryhmää. 4. Valitse ryhmän sivulla Foundation data -välilehti.

4. Etsi Nimi kenttä. Tämän kentän arvo on ryhmän nimi. sAMAccountName, jota tarvitset seuraavassa vaiheessa.

2. Ryhmän jäsenten vieminen Active Directorysta

Käytä seuraavaksi PowerShelliä palvelimella, johon on asennettu Active Directory -moduuli, luodaksesi luettelon ryhmän jäsenistä.

1. Avaa PowerShell.

2. Kopioi ja liitä alla oleva komentosarja PowerShell-konsoliin.

3. Vaihda "11735-GS-Msol-SPE_E3" kanssa sAMAccountName jonka löysit edellisessä vaiheessa.

   KOODI

   PowerShell

   KOODI

   # 1. Define the AD group's sAMAccountName
   $identity = "11735-GS-Msol-SPE_E3"
   
   # 2. Define the output file path
   $filePath = "C:\temp\members-$($identity).csv"
   
   # 3. Get group members, retrieve their employeeNumber, and save to the file
   Get-ADGroupMember -Identity $identity | `
     Get-ADUser -Properties employeeNumber | `
     Select-Object -ExpandProperty employeeNumber | `
     Out-File -FilePath $filePath -Encoding UTF8
   
   Write-Host "Export complete. File saved to: $filePath"
   

Huom: Tämä skripti vie employeeNumber jokaiselle käyttäjälle. Jos organisaatiosi käyttää eri tunnusta (kuten userPrincipalName), muuttaa -Properties ja Select-Object käsikirjoituksen osat vastaavasti.

4. Suorita skripti. Se luo CSV-tiedoston (esim, C:\temp\members-11735-GS-Msol-SPE_E3.csv), joka sisältää luettelon käyttäjätunnuksista.

5. Avaa tiedosto ja tarkista, että se sisältää oikean luettelon tunnisteista.

3. Oikeuksien jakaminen eADM:ssä

Lopuksi voit käyttää vietyjä luetteloita oikeuksien osoittamiseen käyttäjille eADM:ssä.

1. Siirry eADM:n vasemmanpuoleisessa valikossa kohtaan Oikeuksien määrittäminen.

2. Napsauta Provide identifiers (Anna tunnisteet ) -painiketta.

3. Valitse tunnisteen tyyppi, joka vastaa CSV-tiedoston tietoja (esim. työntekijän numero).

4. Avaa CSV-tiedosto, kopioi kaikki tunnisteet ja liitä ne tekstiruutuun.

5. Napsauta Lisää ja tarkista, että oikeat käyttäjät näkyvät valintaluettelossa.

6. Napsauta Jatka.

7. Valitse oikeus, jonka haluat määrittää näille käyttäjille (esim. Microsoft E3).

8. Seuraa kehotteita ja napsauta Jatka, kunnes näet vahvistuksen siitä, että oikeudet on annettu onnistuneesti.

Prosessi on nyt valmis. AD-ryhmän käyttäjille on nyt määritetty vastaavat oikeudet manuaalisesti eADM:ssä.