В отличие от предыдущих номеров №1 и №2, речь пойдет об общих вещах. О том как организовать правильный жизненный цикл учетной записи в AD. Правильный - значит стабильный, когда все данные вносятся в автоматическом режиме и требуют вмешательства администратора в исключительных случаях.

Автоматический режим, конечно, не означает, что данные о пользователях попадают в AD прямо из воздуха. Кто-то должен их первично внести в информационную систему (ИС). Поэтому под автоматическим режимом подразумевается извлечение данных о пользователе из информационных систем, например, отдела кадров и информационной безопасности (ИБ). Их обработка и внесение на этой основе изменений в AD.

При таком порядке ИТ отдел выполняет только свойственные ему функции и не занимается согласованиями различных прав доступа к корпоративным сервисам.

Общая схема работы такова:

1. Отдел кадров принимает сотрудника на работу и вносит его данные в ИС отдела кадров
2. Отдел ИБ, на основании должности выдает сотруднику права доступа к корпоративным сервисам в своей ИС
3. Отдел кадров переводит сотрудника на другую должность и вносит изменения в свою ИС
4. Отдел ИБ, пересматривает права доступа к корпоративным сервисам и вносит изменения в ИС
5. Отдел кадров увольняет сотрудника и проставляет отметку в ИС отдела кадров

Шаги 3 и 4 могут многократно повторяться. Возможны различные вариации, например, ИБ может вносить изменения в свою ИС без отдела кадров, на основании заявки пользователя. Но суть это не меняет. Определены корпоративные системы и права доступа к ним и эта информация вносится отделом кадров и ИБ в соответсвующие ИС.

Задача отдела ИТ состоит в выгрузке этих данных, приведении их к удобному для обработки виду и внесению изменений в AD.

Способы переноса данных из ИС в AD должны быть подробно документированы и согласованы с отделом кадров, ИБ и ИТ. До начала реализации на предприятии должен быть принят документ примерно следующего названия "Политика сопровождения службы каталога Active Directory"

Примерное содержание политики:

• Описание структуры OU
• Серверы: именование, порядок ввода в AD
• Рабочие станции: именование, порядок ввода в AD
• Пользователи: именование, создание, изменение и удаление в AD (автоматический и ручной варианты)
• Контакты: именование, создание и удаление в AD
• Группы рассылки и безопасности: именование, создание, изменение и удаление в AD (автоматический и ручной варианты)

Итогом этой работы должен быть скрипт, рекомендую Powershell. Который на основании установленных в политике правил и данных из ИС отдела кадров и ИБ периодически вносит изменения в AD.

В AD появляется понятная структура OU копирующая штатную структуру предприятия, в OU размещены соответствующие группы и пользователи у каждого из которых прописаны в атрибутах их табельный номер, должность, контактные данные, непосредственный руководитель, физическое размещение пользователя. Физическое местоположение можно брать из ИС отдела кадров, а также по физическому метоположению рабочей станции на которой залогинен пользователь (см. №1 и №2).

А в заключение как делать не надо.

В ИТ отдел приходит служебная записка в бумажном виде (в продвинутых случаях письмо по электронной почте) о том, что на работу принят сотрудник такой-то. Дальше начинаются муки творчества, системный администратор втягивается в совершенно не свойственную ему работу. Он начинает выяснять что это за пользователь и что ему разрешено. При этом вероятны конфликтные ситуации и различные недоразумения. Непосредственный руководитель пользователя требует одно, а ИБ вроде бы это запрещало, а у одного из пользователей это все-таки есть и т.д. Администратору приходится выступать в роли судьи принимающего то или решение. Решение это будет в большинстве случаев ошибочно, ибо сисадмин не может оценить бизнес потребности и требования ИБ. Это не его работа и у него просто нет данных.

Есть такие товарищи которым все это нравится, хотя бы в небольшой степени, но почувствовать внимание других сотрудников, а то все эти скучные компьютеры да программы. Это означает только одно, что их место совершенно не в ИТ, а в отделе кадров или может быть в ИБ или в ЖЭКе. Там внимание обеспечено.

Два подхода: упорядоченность и хаос. Плюсы и минусы объяснять не нужно.