none
Предоставление возможности редактирования полей учетной записи в домене Windows 2003 RRS feed

  • Вопрос

  • Есть насущная необходимость привести в порядок учетные записи в AD, а конкретно заполнить некоторые LDAP поля учетных записей, например контактную информацию (телефоны, адреса и т.п.).

    Связано с успешным внедрением в компании Sharepoint.

    Домен - Windows 2003 Native, ~150 действующих учеток. Exchange в организации к сожалению не развернут.

    Когда-то уже была попытка "подхода к снаряду" - делегировали конкретным сотрудникам в отделе кадров соотв. права и пытались через сохраненные запросы в оснастке AD "Users and computers" дать им инструментарий. К сожалению коряво сие выглядело, потому и заглохло.

    Есть конечно возможность дать пользователям вносить/править поля в учетках через консольные утилиты типа Ldifde.exe & Csvde.exe (через включение их в командные сценарии), но для кадровиков сие будет еще большей проблемой.

    Также в теории есть возможность сделать правку этих полей через вебинтерфейс (своими силами через РНР), однако не хочется этим заморачиваться.

    Сами (силами отдела ИТ) править эту информацию также не хотим, т.к. геморно сие.

    Хочется дать кадровикам простой и наглядный инструмент правки этой информации, дабы они могли им пользоваться без нас и в дальнейшем, например при добавлении нового сотрудника.

    Что посоветуете ? Может есть бесплатные утилиты либо продукты ?

    20 декабря 2010 г. 10:41

Ответы

  • Добрый день. Сам сталкивался с аналогичной проблемой :) Не сочтите за рекламу, но как раз на днях выложил свое творение у себя в блоге. Собственно блог и стал вести из-за желания поделиться своими утилитами. http://almightydrews.wordpress.com/
    • Помечено в качестве ответа Allan Stark 22 декабря 2010 г. 7:52
    20 декабря 2010 г. 19:24

Все ответы

  • Добрый день. Сам сталкивался с аналогичной проблемой :) Не сочтите за рекламу, но как раз на днях выложил свое творение у себя в блоге. Собственно блог и стал вести из-за желания поделиться своими утилитами. http://almightydrews.wordpress.com/
    • Помечено в качестве ответа Allan Stark 22 декабря 2010 г. 7:52
    20 декабря 2010 г. 19:24
  • <...> Связано с успешным внедрением в компании Sharepoint. <...>
    Если SharePoint не Services/Foundation, то можно воспользоваться возможностью "Profile Synchronization".
    20 декабря 2010 г. 20:34
    Отвечающий
  • думаю, это поможет

    редактируете файл delegwiz.inf

    добавляете в него такую секцию:

    template с нужным номером по порядку

    [template54]
    AppliesToClasses=domainDNS,organizationalUnit,container
    Description = "Modify a user's telephone number"
    ObjectTypes = user
    [template54.user]
    telephoneNumber=WP

    и делегируете полномочия нужным юзерам-группам с помощью мастера делегирования

    на основании

    http://technet.microsoft.com/en-us/library/cc772784%28WS.10%29.aspx

    http://support.microsoft.com/kb/308404

     


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    21 декабря 2010 г. 9:56
  • По-моему вопрос не стоит "как делегировать", а стоит "как править"
    Хочется дать кадровикам простой и наглядный инструмент правки этой информации, дабы они могли им пользоваться без нас и в дальнейшем, например при добавлении нового сотрудника.
    21 декабря 2010 г. 12:05
  • Да, проблема не в делегировании прав на поля в объектах АД, а в предоставлении удобного интерфейса для неподготовленных технически сотрудников отдела кадров для правки этих полей.

    Синхронизация профилей в SharePoint у нас была настроена с самого начала, полный и частичный импорт проводится автоматически регулярно по расписанию.

    22 декабря 2010 г. 7:44
  • Спасибо !

    Действительно решение проблемы.

    Все необходимые для редактирования "организационные" поля согласно http://www.selfadsi.org/user-attributes-w2k3.htm в наличии.

    Единственное пожелание - при поиске возможность фильтра учетки по "enable/disable".

    Например в нашей организации принято правило по уходу сотрудника дизейблить его учетную запись, а затем в конце года сценарием удалять записи, задизейбленные более двух лет назад.

    22 декабря 2010 г. 7:52