AD - сохранение последних 4 номеров социального сек. Сотрудника в качестве атрибута employeeNumber?

Question

AD - сохранение последних 4 номеров социального сек. Сотрудника в качестве атрибута employeeNumber?

В настоящее время я работаю над созданием сценариев для некоторых из наших средств доступа на работе и хотел бы получить простой способ ввода и получения последних 4-х номеров в социальной сети пользователя. Это основной способ определения людей, которые звонят. В настоящее время мы должны войти в систему и выполнить поиск в нашем приложении для управления персоналом, которое довольно громоздко в использовании и добавляет время к звонку. Вероятность того, что я получу одобрение и расширение схемы руководством / старшими инженерами, практически равна нулю. Я думал о записи этого числа в атрибут employeeNumber, но не был уверен, есть ли какие-либо непредвиденные последствия в этом. Очевидно, кто-то в нашей старой службе поддержки начал вводить эту информацию во вкладку "Телефоны" в AD, которую можно увидеть через глобальный каталог Outlook... Менеджер был не слишком доволен.

Это достойная идея, с которой я должен работать? или же?...

1

active-directory schema attributes

Источник

soMuch2Learn 12 мар '14 в 04:06

2 ответа

Решение

Стандартная схема "из коробки" уже содержит атрибут employeeNumber и employeeID...

Чтение атрибутов:

PS H:\> Get-ADUser jbob -Properties EmployeeId,EmployeeNumber

DistinguishedName : CN=JoeBob,OU=Users,OU=Bros,DC=contoso,DC=com 
EmployeeID        : A1B2C3 
EmployeeNumber    : 1234556 
Enabled           : True 
GivenName         : Joe 
Name              : JoeBob 
ObjectClass       : user 
ObjectGUID        : be0e26f8-194a-4e64-bd88-e8fe31ead255 
SamAccountName    : jbob 
SID               : S-1-5-21-2495528697-4433204477-8833759600-13738 
UserPrincipalName : jbob@contoso.com

Установка атрибутов:

PS H:\> Set-ADUser jbob -EmployeeId $NewEmpId

Я был бы очень осторожен с сохранением даже последних 4-х SSN сотрудника в Active Directory. По умолчанию эта информация будет доступна для всех аутентифицированных пользователей. И я лично считаю, что даже последние 4 цифры номеров социального страхования других людей заслуживают большей конфиденциальности, чем эта.

Если вы собираетесь это сделать, я бы по крайней мере рекомендовал пометить атрибут как конфиденциальный, изменив атрибут searchFlags: http://support.microsoft.com/kb/922836

3

Источник

Ryan Ries 12 мар '14 в 12:17

Другие вопросы по тегам active-directory schema attributes

TheCleaner 12 мар '14 в 04:13 2014-03-12 04:13 · Accepted Answer · 2014-03-12 04:13

Поле employeeNumber, хотя его нельзя просмотреть через графический интерфейс, все равно может быть запрошено любым пользователем, имеющим доступ для чтения к AD, если я не ошибаюсь. Это может потребовать больше усилий, чем "Outlook".

Но, честно говоря... это последние 4 из SSN... так что я думаю, что ваш подход, если с ним все в порядке, достаточно хорош.

Просто убедитесь, что в будущем вам не нужен фактический идентификационный номер сотрудника. Но да, это не то, что испортит что-то еще, если вы произвольно выберете номер для хранения там.