Гость
Гость
|
Создано: 02.03.2007 02:30:07
|
организация вымахала за 1000 человек каждый день происходят изменения .. ктото куда пересел кто то поменял должность у кого то изменился телефон ... и таких праблем куча .. адресная книга на екченче раньше нормально использовалась как справочник .. сейчас данные просто не актуальны дело в том что хочу заставить отдел кадров после каких либо изменений в штатном расписание изменять и информацию в адресной книге .. или же пусть пользователи сами меняют определенные атрибуты например такие как телефон и должность .. дак вот вопрос как это сделать ? начнем хотябы с телефона !
|
Дмитрий (Dakl)
Заслуженный посетитель
Всего сообщений: 2856
Дата регистрации: 20.09.2006
|
Создано: 02.03.2007 02:35:29
|
|
|
Гость пишет:
хочу заставить отдел кадров после каких либо изменений в штатном расписание изменять и информацию в адресной книге |
Хорошее пожелание...только вот вам придется тогда давать права на AD...
ВЫ готовы к этому?
Хотя конечно можно разным людям давать права на разные OU.
У вас есть разделение на OU по подразделениям например?
|
|
Гость пишет:
пусть пользователи сами меняют определенные атрибуты например такие как телефон и должность |
Считаю неправильным.
C уважением Д.К.
|
Павел Козлов
Редактор
Всего сообщений: 1152
Дата регистрации: 07.11.2005
|
Создано: 02.03.2007 02:36:53
|
Доброе утро Гость,
Всем такое право давать не стоит, поверь. Но делигировать группе пользователей права на изменение определенных параметров AD стоит. Делается это через оснастку AD Users and Computers. Как мне кажется это более разумно.
Из практического опыта могу сказать, что подобные права оптимально давать: ОК, секретарям, руководителям направлений или групп.
--------------------
С уважением,
Павел Козлов
|
Дмитрий (Dakl)
Заслуженный посетитель
Всего сообщений: 2856
Дата регистрации: 20.09.2006
|
Создано: 02.03.2007 02:39:24
|
|
|
Павел Козлов пишет:
подобные права оптимально давать: ОК, секретарям |
Полнотью поддерживаю... ОК все равно дает инфу секретарям...ну вот и напрячь их кого то из них...
C уважением Д.К.
|
Гость
Гость
|
Создано: 02.03.2007 02:43:47
|
разве я сказал что я хочу дать права всем ? я же имено и спрашивал .. как мне дать возможность менять АТРИБЫТЫ .. я понимаю что достпу к АД будет это точно ..... хорошо .. к какому атрибуту надо дать доступ хотя бы групе пользователей чтоб они могли менять атрибут ТЕЛЕФОН ... я такого не нашел
|
Гость
Гость
|
Создано: 02.03.2007 02:47:39
|
и потом что страшного если Юзер будет иметь доступ к своему атрибуту ТЕЛЕФОН ?? и только ни кто же кроме него этот атрибут трогать не будет
|
Павел Козлов
Редактор
Всего сообщений: 1152
Дата регистрации: 07.11.2005
|
Создано: 02.03.2007 02:59:49
|
|
|
Гость пишет:
чтоб они могли менять атрибут ТЕЛЕФОН ... я такого не нашел |
Гм, не уверен что можно дать такую детализацию, потом насколько я понимаю, граница делигирования в AD это OU и что на каждого пользователя по OU.
Как обходной вариант давать в схеме права на изменение этого атрибута группе и писать обвязку которая меняет это атрибут.
Знаешь если тебе так хочется чтобы народ сам менял свои телефоны, пиши на VBScript или VB скрипт запускаемый в контексте администратора или учетки с правами ТОЛЬКО на изменение атрибутов. И вешай это детище на портал или другое доступное в сети место.
--------------------
С уважением,
Павел Козлов
|
Дмитрий (Dakl)
Заслуженный посетитель
Всего сообщений: 2856
Дата регистрации: 20.09.2006
|
Создано: 02.03.2007 03:29:08
|
|
|
Павел Козлов пишет:
граница делигирования в AD это OU и что на каждого пользователя по OU. |
факт.
Далее опускаться на Create a custom task to delegate-далее на only following object in the folder-и выбирать account object- нам ставить галку write и на propertly-specific и там поснимать ненужные Write...
Но параметра отдельного про TELEPHONE там нет.
Надо просто снять лишние Write.
Но дать это всем пользователям...НЕВОЗМОЖНО. ТЫ им всем что ADUC ставить будешь?
У тебя стоит галочка про кеширование адрессной книги? Если стоит значит то-
что они (пользователи) видят это oффлайн адресная книга. И изменение в ней увидять только они.
А если снять кеширование
|
|
Гость пишет:
организация вымахала за 1000 человек |
То это повышение нагрузки на сервер глобального каталога.
Можно конечно дать права на правку только OAB секретарю...-но это половичатое решение при
|
|
Гость пишет:
каждый день происходят изменения |
C уважением Д.К.
|
Гость
Гость
|
Создано: 02.03.2007 04:23:43
|
не работает так
|
Дмитрий (Dakl)
Заслуженный посетитель
Всего сообщений: 2856
Дата регистрации: 20.09.2006
|
Создано: 02.03.2007 06:15:16
|
|
|
Гость пишет:
не работает так |
Так это как...через раздачу прав в ADUC...еще как работает. Вы видать не те галочки поснимали...вы видать лишние риды поснимали.
А вообще вам надо просто делегировать право для OK Create, Delete and manage user account.
В конце концов приемом на работу и увольнением занимаются они а не IT отдел....
А чтобы вам было на душе спокойнее...настроить аудит этих событий...дабы если что знать кто накосячил
Это кстати нормальная практика...так в одном организации сам так настраивал.
Оформил приказ ОКна прием сотрудника- заведи в AD и создай ящик.
На вопрос СБ кто будет выставлять пароли ответ один...первый раз создается пароль например Password...а при следующем логине user сам изменит...согласно сложности которая выставлена у вас политиками безопасности.
C уважением Д.К.
|
