Pregunta ¿Permitir que el Departamento de Recursos Humanos ingrese usuarios en Active Directory / Exchange en lugar de TI?


Estoy aprendiendo sobre la marcha, pero una cosa que siempre me he preguntado es que, en las corporaciones más grandes, el departamento de TI ingresa a todas las nuevas contrataciones en el directorio activo / crea el buzón de intercambio o hay una configuración que permite a los administradores / recursos humanos agregar nuevos ¿empleados?

Supongo que podría desarrollar algo en el que ingresen la información de las personas y que llegue a todos los sistemas necesarios, pero me preguntaba si había un método incorporado, ¿o es solo algo que hace el departamento de TI?

Editar adición:

Actualmente recibo una copia de la información de los nuevos empleados, la puse en todos los sistemas (directorio activo, horario y asistencia, intercambio, etc.) y luego devuelvo la información.

Buscando un mejor método para lograr esto. Los sistemas actuales que utilizamos son:

Active Directory, Microsoft Exchange, QQest time and Attendance y MySQL, y luego los sistemas de protección SAS de mcafee.

QQest tiene integración de directorio activo, pero incluso trabajando con ellos nunca he podido hacer que funcione correctamente.

McAfee SAS acaba de lanzar una función de integración de directorio activo, pero he oído que todavía tiene errores y estoy esperando una versión actualizada antes de intentar su implementación.

Estoy planeando usar Active Directory como la información de inicio de sesión para la base de datos mysql, actualmente estamos escribiendo una nueva versión del sistema para usar con eso, pero lo estaré en algún momento antes de que se complete.

Gracias.


5
2017-11-23 18:08


origen


Es posible que deba crear preguntas por separado si desea obtener ayuda para habilitar AD McAfee SAS o QQest. - Zoredache
@Zoredache No estoy tan preocupado por la ayuda con la integración de esos sistemas; solo estaba señalando los diferentes sistemas que tengo, así que estaba disponible si alguien tenía entrada, etc., aunque gracias. - Jeff


Respuestas:


Sin duda, es posible delegar un conjunto limitado de privilegios para administrar objetos de usuario. Trabajo en un proveedor de servicios educativos, y uno de nuestros departamentos se ocupa de muchos estudiantes que solo están presentes durante un par de semanas y van y vienen constantemente. Sería un dolor para nosotros administrar las cuentas por ellos. Así que delegamos privilegios a uno de los miembros del personal para ese programa.

No hemos decidido no hacerlo, pero habíamos estado invirtiendo en integrar nuestro sistema de nómina directamente en el AD a través de SIF. Debería ser posible que las cuentas se creen automáticamente. Todo el software existe para hacer esto, pero como no somos una escuela tradicional, no se ajusta exactamente a nuestros requisitos.

Si elige delegar esto, es posible que deba evaluar sus requisitos de seguridad. Quizás pueda dejar que Recursos Humanos cree las cuentas, pero no permita que modifiquen la pertenencia a grupos. De esa manera, se requiere algún tipo de solicitud a alguien para que vuelva a verificar si los privilegios solicitados son válidos para esa persona.


6
2017-11-23 18:16



La capacidad de modificar la pertenencia a un grupo se basa en la seguridad asignada al objeto de grupo. Podría tener unidades organizativas que contengan objetos de grupo que HR pueda modificar y otras unidades organizativas que contengan objetos de grupo que HR no pueda modificar. La delegación de control sobre las unidades organizativas que albergan los objetos del grupo podría arbitrar este permiso. - Evan Anderson


Una de mis implementaciones de AD involucra a cientos de empleados en el extranjero y una multitud de proyectos. Uno de los productos con los que trabajamos también requirió un inicio de sesión por separado, tal como lo describe.

No pude encontrar una manera unificada de permitir el acceso al segundo producto. Al final me fui con su integración AD tan hokey como es.

La delegación de permisos al personal fuera de IS se convirtió en un requisito comercial definitivo. Al final del día, tuvimos un par de niveles de acceso de delegado, uno que permite a los usuarios que no son de SI crear proyectos y realizar tareas generales de administración de AD (limitada a una rama de AD) y otra para la administración de usuarios, incluidos nuevos usuarios, membresía de grupo y restablece la contraseña.

Lo más importante que encontré es que también es imperativo establecer permisos en sus grupos. Si se configura correctamente, los usuarios delegados podrán mover usuarios entre grupos comunes sin la capacidad de realizar ataques de escalamiento de privilegios.


4
2017-11-23 18:58



A cambio, tengo administradores de grupo que pueden agregar / eliminar a los grupos que administran. Aunque no tengo nada solo para grupos de seguridad. - Jeff


Donde he estado, sería una tarea completada por el administrador del sistema utilizando la información proporcionada por el departamento de recursos humanos a través de una orden de trabajo o un sistema de tickets.

He configurado Servidor de roles activos para una mesa de ayuda que apoyé, que podría usar para hacer lo que está tratando de hacer, pero tendría que decidir si el esfuerzo está justificado en función de su base de usuarios.


3
2017-11-23 18:14



Soy el administrador del sistema / recursos de TI por aquí y actualmente solo me dan una copia de la información de las personas y me piden que la ingrese. Solo trato de ver si hay algo más fácil por ahí. - Jeff
Dependiendo del tamaño de su organización, puede ser beneficioso para usted hacer el trabajo, pero si tiene muchos usuarios o muchos cambios, puedo ver su punto. - Mitch
No somos una empresa gigante ni nada, pero sí nos dirigimos a los asociados de ventas con una tasa más alta, por ejemplo, como ahora, por más tiempo, contratamos a una buena parte de los empleados de temporada, algunos de los cuales se eliminan del sistema en una semana. . - Jeff
Supongo que también debería decir: RH / y los presidentes tampoco siguen las reglas exactas. Normalmente recibo la información de las personas el día de la contratación, y si es un día que no estoy en la oficina, nadie más sabe cómo ingresar. Esto también me preocupa porque no quiero ser la única persona en una empresa que sabe cómo agregar un nuevo empleado a los sistemas. - Jeff
Buen punto, ser el único punto de contacto para estas cosas puede ser un dolor. - Mitch