14. juli 2006 - 13:20Der er
2 kommentarer og 1 løsning
Oprette en policy med specielle ønsker
Jeg har et issue, som jeg forsøger at løse.
Vi har et tredje parts program.. som pr noget automatik kan smide brugere over i MS AD..
Efter vi har lavet et total import i AD ved impl. vil der så efterfølgende være to kørsels senarier:
Der kommer nye data i vores program til eksistrende brugere, som så opdatere ad-brugernes oplysninger.
Der kommer data i vores program, som fortæller AD at dette er en ny bruger i vores system og derfor også skal lave en nyoprettelse i AD. (den gør det, at den opretter brugeren med et kendeord og nogle standard oplysninger)
Det er det sidste punkt jeg har nogle ting, jeg gerne vil have løst.
Kan man lave en GroupPolicy, der går ind og tjekker på at der ved oprettelse af et nyt (brugerSID) skal udføre nogle bestemte ting. - eks. force "create new password with next login"
Vores program, kan desværre ikke selv finde ud af at gøre dette. Enten bliver det på alle AD brugere eller ingen.. Så den holder ikke.
Mød en af Nordens fremmeste eksperter i adfærdsdesign – Morten Münster, der bl.a. har skrevet ” Jytte fra marketing er desværre gået for i dag” – på Computerworld Cloud & AI Festival.
Uden at vide det med sikkerhed, så tror jeg ikke rigtig på det!
Jeg ved med sikkerhed at du ikke kan lave password policy "i flere niveauer"... Der kan kun eksistere én password policy pr. AD domæne. Så deri sagt at du ikke kan differenciere password policies på bagrund af Account egenskaber.
Jeg skal dog ikke udelukke at man kan scripte sig ud af det, men det er måske lidt bøvlet at skulle køre et ekstra script, hver gang der skal oprettes en bruger.
Det undrer mig dog, at jeres program ikke kan dette. Det er jo nærmest indlysende at brugeren eks. SKAL skifte password ved første logon. Måske er løsningen på dit problem i virkeligheden, at I skal ud og se ejr om efter et andet 3. parts produkt. Eller måske finde en helt 3. måde at oprette jeres brugere på.
Du kunne måske lave et logon script, som evt. sætter password, eller sætter andre egenskaber på brugerens konto. Og jeg gætter at dette KUN skal ske ved første logon...? Dette kunne løses ved at scriptet starter med (eller slutter med) at oprette en folder eller en fil som kaldes brugerens navn (eks. username.fil)
I scriptet kunne der således startes med at kontrollere for eksistens af den pågældende brugers filnavn. og hvis det findes, skal scriptet springes over.
Egenskaberne kan scriptes med eks. DSMOD som er et tool der er tilgængeligt i Windows Server 2003 - Support Tools... - som kan findes på W2K3 CD'en.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
