Автоматически добавлять пользователей ActiveSync в группу AD?
Есть ли способ, что после первой успешной синхронизации через ActiveSync пользователь может быть добавлен в группу Active Directory?
3 ответа
Не могу быть слишком уверен в ответе, но, насколько мне известно, нет никакого способа, чтобы websense автоматически добавлял / удалял пользователей из групп каталогов, так как это контролируется исключительно в самом каталоге. Я не на 100% с V7, но с V6.xx, если пользователь не является членом группы, автоматически применяется политика по умолчанию, поэтому, если вы хотите изменить стандартную политику, которая применяется ко всем пользователям (кроме случаев, когда в другой группе политик)) Затем просто измените политику по умолчанию. Пожалуйста, перейдите по этой ссылке, чтобы получить ответ.
Я не уверен на 100%, будет ли это работать или нет, но вам придется подходить к этому с одного из двух направлений.
- Active Directory
Теоретически вы можете создать собственный фильтр AD, который запускается всякий раз, когда выполняется определенное условие. Например, многие люди используют фильтры смены пароля, чтобы захватить пароль и когда он был изменен. Вы можете создать фильтр входа в систему, а затем попытаться расшифровать предоставленную дополнительную информацию, а затем выполнить некоторую другую логику для добавления пользователя в группу.
Не совсем уверен, что это будет легко или даже выполнимо
- обмен
Позвольте Exchange обработать эту логику. Создайте некоторое дополнение к Exchange, которое обрабатывает соединение ActiveSync, а затем выполняет ту же логику, что и выше, чтобы добавить пользователя в группу.
Очевидно, что это все теоретически и может или не может работать должным образом, это, безусловно, будет нестандартное решение.
Не "автоматический", а сценарий PowerShell или эквивалентная запланированная задача может запрашивать объекты objectCategory=person, которые являются пользователями Exchange (например, homeMDB=*), и имеют дочерние объекты, расположенные в ExchangeActiveSyncDevices, а затем обновлять членство в группе рассылки с результатами.
Объекты с родительским DN, который включает в себя пользовательский объект и дочерний CN=ExchangeActiveSyncDevices, являются достаточно точным указанием устройства ActiveSync.
Объектной категорией будет msExchActiveSyncDevice.
Вы также можете уточнить запрос, указав, что атрибут whenChanged является недавним. Несвежие устройства, как правило, остаются в AD и не удаляются.
Вот пример вывода ldifde устройства ActiveSync:
dn: CN=iPhone5§3939303030323037383031353037,CN=ExchangeActiveSyncDevices,CN=jSmith,OU=Users,OU=HQ,DC=acme,DC=com
changetype: add
objectClass: top
objectClass: msExchActiveSyncDevice
cn:: aVlkjb25llkjnMzkzOTMlkjMDMyMzAzNzM4MzAzMTM1MzAzNw==
distinguishedName::
Q049alk25lNcKnMzkzOTMwMzAzMDMyMzAzNzM4MzAzMTM1MzAzNyxDTj1FeGNoYW5nZUFjdGl2ZV
N5bmNEZXZpYlkjNOPWdhc2tlMlkjLE9VPVVzZXJzLE9VPUhEUVJLLERDPW1paGRxLERDPW1hcnJj
b3JwLERDPW1hcnJpb3R0LERDPWNvbQ==
instanceType: 4
whenCreated: 20121204031102.0Z
whenChanged: 20121206035828.0Z
uSNCreated: 64647685
uSNChanged: 64888478
name:: aVBokjrweNcKnMzkzOTMwhjgdfAzMDMyMzAzNzM4MzAzMTM1MzAzNw==
objectGUID:: odtO+OEUg0aae4kVkQOjRg==
systemFlags: 1073741824
objectCategory: CN=ms-Exch-Active-Sync-Device,CN=Schema,CN=Configuration,DC=acme,DC=com
dSCorePropagationData: 16010101000000.0Z
msExchDeviceAccessState: 1
msExchDeviceFriendlyName: Android_hq_jSmith
msExchUserDisplayName: acme.com/HQ/Users/jSmith
msExchDeviceEASVersion: 14.1
msExchDeviceOS: Android 4.1.1
msExchDeviceType: iPhone5
msExchDeviceID: 3939303030323037383031353037
msExchDeviceModel: SCH-I605
msExchFirstSyncTime: 20121204031102.0Z
msExchDeviceUserAgent: TouchDown(MSRPC)/7.3.00052/
msExchDeviceTelephoneNumber: ******7887
msExchDeviceOSLanguage: English
msExchDeviceAccessStateReason: 1
msExchVersion: 44220983382016
msExchDeviceIMEI: 99000207801507