Slik kontrollerer du klargjøring av AD-kontoer med en eAdm
Mange organisasjoner har behov for å kontrollere hvilke brukere som automatisk får en Active Directory (AD)-konto. Denne veiledningen forklarer hvordan du bruker en spesifikk tillatelse i eAdm til å administrere opprettelse av AD-kontoer, slik at du sikrer at bare utpekte brukere får en konto automatisk.
Denne metoden er nyttig i flere vanlige scenarier:
Differensiere mellom ulike typer ansatte: Opprett automatisk AD-kontoer for fast ansatte, men krev at ledere manuelt gir tilgang til midlertidig ansatte eller timelønnede.
Administrere eksisterende brukere: Når du migrerer til eAdm, kan du forhindre at systemet automatisk oppretter AD-kontoer for eksisterende ansatte som ikke har hatt behov for det tidligere.
Følgende prosedyre bruker en tillatelse som heter "Active User Account" for å kontrollere denne prosessen.
Fremgangsmåte
Følg disse trinnene for å konfigurere eAdm til å administrere klargjøring av AD-kontoer via en tillatelse.
Trinn 1: Opprett tillatelsen "Aktiv brukerkonto"
Først oppretter du en ny tillatelse som skal brukes til å gi AD-tilgang.
Gå til området for administrasjon av tillatelser i eAdm.
Opprett en ny tillatelse. I listen over tillatelser konfigurerer du detaljene for den. I denne veiledningen bruker vi følgende eksempel:
Navn:
Aktiv brukerkonto(Aktiv brukerkonto)ID:
8394(Merk: Systemet tildeler en ID automatisk; 8394 brukes som eksempel i denne veiledningen).
Tildel denne rettigheten til en gruppering som er tilgjengelig for ledere eller andre autoriserte medarbeidere som skal være ansvarlige for å gi denne tilgangen manuelt.
Trinn 2: Konfigurere regler for automatisk tildeling
Deretter definerer du reglene for hvilke brukere som automatisk skal få tillatelsen "Aktiv brukerkonto". Du kan for eksempel konfigurere regelen slik at bare ansatte som ansettes etter at eAdm er satt i drift, får denne tillatelsen.
Åpne regelsettet for tillatelsen "Aktiv brukerkonto".
Opprett regler for å definere kriterier for automatisk tildeling.
Trinn 3: Oppdater Active Users Sync Template for AD
Endre synkroniseringsmalen for aktive AD-brukere slik at den krever tillatelsen "Aktiv brukerkonto". Dette sikrer at bare brukere med denne tillatelsen opprettes eller opprettholdes som aktive i AD.
Finn regelsettet som er knyttet til synkroniseringsmalen for aktive AD-brukere.
Legg til en ny regel som krever at brukeren har tillatelsen "Aktiv brukerkonto". Du bruker den unike ID-en for tillatelsen fra trinn 1. Denne regelen kontrollerer at brukeren har tillatelsen med ID 8394.
Trinn 4: Oppdater synkroniseringsmalen for deaktiverte brukere for AD
Til slutt oppdaterer du synkroniseringsmalen for deaktiverte brukere. Denne regelen vil sørge for at AD-kontoen automatisk deaktiveres når tillatelsen "Aktiv brukerkonto" fjernes fra en bruker.
Finn regelsettet for synkroniseringsmalen for deaktiverte brukere.
Legg til en kombinasjon av regler som identifiserer brukere som har mistet tillatelsen "Aktiv brukerkonto".
Logikken for dette regelsettet er å finne brukere som:
Er ikke merket som slettet i kildesystemet.
Har for øyeblikket ikke tillatelsen "Aktiv brukerkonto".
Hadde tidligere tillatelsen "Aktiv brukerkonto" (som registrert i objekthistorikken).
Denne logikken kan konstrueres i regelsettet på følgende måte:
// Condition 1: The user is NOT marked for deletion.
Slettet | Har ikke verdi
// OR
// Condition 2: A multi-part condition to identify a lost permission.
(
// The user does NOT currently have the permission (ID 8394).
[OBJECTPERMISSION.SYSTEMROLE;Name;Id;8394] | Har ikke verdi
AND
// The user's history shows they PREVIOUSLY had the permission (ID 8394).
[OBJECTHISTORIES;OldValue;OldValue;8394] | Er lik | 8394
)
Merk: Husk å tildele tillatelsen "Aktiv brukerkonto" manuelt til alle eksisterende brukere som trenger en AD-konto, men som ikke oppfyller kriteriene for automatisk tildeling som du konfigurerte i trinn 2.