我和MSP一起工作,我们希望实施一些措施,以便我们组织中的每个用户都可以轻松地添加到多个不在同一个森林中的不同域中。
让我举一个例子
说一个新用户,John Doejoin我们的公司,显然我们不希望每个人都知道域pipe理员的密码,所以我们为他创build一个用户名,adminjd,他要和一家公司XYZ合作,但是我们pipe理很多客户,所以他不仅要有XYZ账户,还要有ABC,123,ACME等等 – 所以加上他的服务账户可能会耗费几天的技术人员。 不好。 如果我们与多伊先生有一个不太友善的分歧,我们想删除他的账目,这个问题就更加复杂了。 我们可以使用Solarwinds NCM for Cisco / Juniper / Etc轻松快捷地完成此任务。 设备,但我们没有一个很好的Active Directory / LDAP解决scheme,付费或其他。
监视事件和其他相关的活动目录信息也是很好的,但主要function如上所述。
有没有人有这样的软件的任何经验? 有人可以提出build议吗?
我推荐一个脚本解决scheme。 (这是我最好的锤子,所以一切都看起来像一个钉子…)在这种情况下的活动目录脚本,Perl使这比在VBScript(我最强大的两种语言),因为你必须显式绑定到每个域在Perl中(在VBScript中,它使用运行脚本的帐户上下文)。 我通常使用NET::LDAP模块。
我要么设置脚本接受命令行参数,要么提出一个问答列表(全名,用户名,密码,域pipe理?等)。 你也会要求你自己的用户名和密码。 (如果你使用(不安全的)所有域的密码匹配的做法,这样会更容易,但是你可以设置它来请求每次运行。)
然后定义一个客户端域的数组。 在for循环中,绑定到每个域,在每个域中创build帐户(设置组和密码),然后转到下一个域。 冲洗。 重复。
我们一直在我们的环境中使用Novell Identity Manager多年,对结果非常满意。 它提供了任意数量的Active Directory域以及eDirectory,各种电子邮件解决scheme,数据库等,并且在部署方式上非常灵活。 由于产品的范围,它可能相当复杂,但它本质上将处理所有用户和资源提供任务(并且可以限制它的范围以实现简单的即用型部署)。 初始设置后的稳定性和可扩展性非常好。
尝试使用ManageEngine ADManager Plus在多个域中设置Active Directory中的用户帐户。 要监视用户操作,请部署ManageEngine ADAudit Plus。
AuthAnvil,做你想要的。 我不使用它,但是我听说过很棒的事情。 您甚至不需要在每个系统上创build帐户。
伊恩