Tek bir aktif dizin kullanıcı hesabını senkronize edebilir miyim?

-1

Asıl sorum başlığında. Bu ilk bölüm neden sorduğuma ışık tutuyor.

BT'nin Son Kullanıcılara onaylı güncellemeler ve yazılım kurulumları için UAC bilgi istemlerine girmeleri için bir etki alanı yöneticisi hesabı vermesini çok kolaylaştıracak bir PowerShell betiği yazıyorum. Bu, hesaplarına daha fazla güç vermeyecek ve komut dosyasını kendileri çalıştıramaz .

Sözde kod:

Geçici Yönetici hesabı Devre Dışı Bırakıldıysa {

  1. Temp Admin hesabını etkinleştir
  2. Şifreyi rastgele oluşturulmuş bir şifreye sıfırla
  3. Şifreyi IT Tech'e göster (IT tech UN: Temp_Admin PW: w3ocxf8IP Son Kullanıcıya gönderir)
  4. Betiği duraklat - Tech, Son Kullanıcının bittiğini görene kadar
  5. Hesabı yeni rastgele bir şifreye sıfırla (görüntülenmez)
  6. Hesabı devre dışı bırak

} else 30 saniye bekleyin - tekrar başlayın

Uygulamadan önce birkaç sorum olacak:

Birden fazla DC'de yalnızca Temp Admin hesabını (AD'nin tümü değil) senkronize etmek mümkün mü? ABD’nin dört bir yanında ofislerimiz var, bu yüzden hesap TX’te kullanılıyorsa ve NY’deki birisinin kullanmaya kalkarsa, hesap senkronize edilmediğinde işlerin karışacağından endişeleniyorum.

Bu betiğin çok kullanıldığını varsayarsak, şifreyi ve hesabını bu kadar etkinleştirerek / sıfırlayarak / sıfırlayarak / devre dışı bırakarak yalnızca AD veya hesap hataları mı soruyorum?

Ben sysadmin'den daha fazla programcı olduğum için AD'deki bütün detayları (yansımaları) bilmiyorum.

powershell  active-directory 
jerbil24
kaynak
1
Rastgele kullanıcılara Yönetici hesabı vermek korkunç bir fikir gibi görünüyor. Teorik olarak, ne yaptıklarını bilselerdi gerçek Yöneticileri kilitleyebilirlerdi. Senaryonuz, güvenlik temellerinden ödün veriyor.
Ramhound
Her isteğinde onlara kör bir şekilde erişim vermeyeceğiz. VPN'e ulaşabilecek çok sayıda saha kullanıcımız var, ancak BT VPN üzerinden her zaman uzak duramıyor. Ekranlarını her zaman Skype Kurumsal / Lync üzerinden görebiliyoruz, ancak kimlik bilgileri giremiyoruz. Bu komut dosyası, onlara sık sık değişmeyen yerel yönetici kimlik bilgilerini verme konusunda yardımcı olmaktır.
jerbil24
Ayrıca, kullanıcının yönetici gücünü vermiyorum. UAC kutusuna girmeleri için onlara kimlik bilgileri veriyorum. Bu kimlik bilgileri sıfırlanır, böylece komut dosyası yeniden çalıştırılıncaya kadar hiç kimse bu hesaba erişemez. Betik sadece yöneticiler tarafından çalıştırılabilir. Ekranlarını izleyeceğiz ve yönetici aidatlarına olan gereksinimlerini onaylayacağız (özellikle yazılımı güncellemek veya sahada onaylı yazılımları yüklemek)
jerbil24
Kendin söyledin. Senaryonun yankılarını bilmiyorsunuz. Bir Sistem Yöneticisi olarak, bu senaryoyu yazmanıza yardımcı olacağına inanmıyorum. VPN'e bağlı değillerse, açık değildir, komut dosyasının yine de ilk başta etkin etki alanınızla nasıl iletişim kuracağı.
Ramhound
@Ramhound Senaryo hakkında hiç yardım istemedim. Komut dosyasını Sistem Yöneticisi sorularım için bağlam olarak sağladım. Öyleyse, bir sistem yöneticisi olarak, tüm AD yerine, tek bir AD hesabını DC'lerimizde senkronize etmenin bir yolu olup olmadığını söyleyebilir misiniz? Ve hesabın etkinleştirilmesi ve devre dışı bırakılması + çalıştırma başına parolayı iki kez sıfırlamak garip hesap davranışlarına neden olabilir (yankılar)?
jerbil24

Yanıtlar:

0

Tek bir kullanıcı hesabını Active Directory'de senkronize etmek için Cmdlet'i kullanabilirsiniz Sync-ADObject. Tüm Etki Alanı Denetleyicilerini almak için, Cmdlet'i kullanabilirsiniz. Get-ADGroupMember 'Domain Controllers'.Onları bir araya getirmek, şöyle görünür:

Get-ADGroupMember 'Domain Controllers' | foreach {Sync-ADObject -object 'CN=test user, OU=TestOU, DC=company, DC=com' -source DC1 -Destination $_.name}

Senkronizasyon ilerlemesini görüntülemek için küme ayracı ;Write-Host "$_.name"arasına arasına ekleyebilirsiniz .$_.name}

Diğer bir sorum, çalışan bir senaryo ile oynamaya başladığımda cevaplandı. Genellikle Active Directory'nin hesabı kilitlemesine neden olan şifreyi sıfırlamak. Bunu önlemek için, Cmdlet'i kullanın:

Unlock-ADAccount -Identity Test.User -ErrorAction Stop

Kilit açma işleminde bir sorun çıkarsa, hata işlemi kodun devam etmesini önler.

jerbil24
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.