כיצד למנוע יצירת משתמשים בעלי אותו שם ב-Active Directory?

[alex.turovsky]

יש מערכת רפואית המסתמכת על AD ומושכת ממנה משתמשים.

אני יודע על כל הסיפור של SID שונה שנוצר לכל משתמש בעל אותו שם ב-AD, אבל המערכת השנייה טיפשה ואינה מבדילה.

מסיבות של אבטחת מידע יש צורך למנוע מה-Domain Controller ליצור משתמשים בעלי אותו שם ב-Active Directory.

*התוכנה הרפואית עושה בעיות עם First Name ו Last Name בלשונית GENERAL ולא מה שמופיע תחת לשונית ACCOUNT עם ה-USERNAME.

האם יש POLICY או תוסף כולשהו לבצע זאת?

[DXM]

קריטי לך שזה יהיה דרך POLICY?

אפשר לבנות סקריפט ממש פשוט שיצור יוזרים, ולפני שהוא יוצר הוא יבדוק על ידי שליפת LDAP או פקודת סיסטם פשוטה אחרת אם קייימים יוזרים עלי אותו שדה. פשוט תגדיר למנהל רשת שם לעבוד דרך הסקריפט וןזה ימנע את הבעיות..

[alex.turovsky]

טוב יש שינוי במשימה, לא הוסבר לי כראוי.

מישהו שמוחק משתמש לחלוטין מה-AD, מבקש שאי אפשר יהיה ליצור משתמש עם אותו User Logon Name...

מה דעתכם, אפשרי?

[DOGMA]

לא.

אלא אם אתה משתמש במערכת ניהול זהויות צד שלישי, זאת דרישה דיי מטומטמת ממערכת ניהול משתמשים כללית מה קורה כשיש לך שני אנשים עם אותו שם?

בכל אופן סביר להניח שיהיה יותר פשוט לשנות את שאילתת ה-LDAP באפליקציה מאשר להטמיע מערכת ILM, על הדרך לשבור את האצבעות למתכנת שלא שמע על DN וUPN...

בכל מקרה אני לא ממש מבין מה הבעיה שלך כי הרי לא ניתן ליצור 2 משתמשים עם אותו Logon Name, לא שיש דבר כזה אבל Winlogon משתמש בUPN או sAMAccountName שהוא יחודי לכל משתמש. מה שכן נותר זה אותו Common Name.

אם אתה רוצה לוודא של ייוצר מעולם עם משתמש עם אותו UPN\sAMAccountName אז שוב אתה צריך מערכת ILM עם מסד נתונים נפרד, או לא למחוק משתמשים אלא לבטל אותם במקום.

נ.ב.

אם אתה ממש מתעקש על להרוס לעצמך את החיים ניתן לערוך את הסכמה של ה-Active Directory ולשנות את ה Attribute של Common Name gName/Sname או מה שאתה לא רוצה לUnique Attribute, מה שאומר שהמערכת אמורה לבחון את הערך המוזן ולהחזיר כמו attributeOrValueExists או entryAlreadyExists, אם ADDS מכיל בתוכו פונקציאונליות לבחון כל Attribute ולוודא שהוא unique או לא מלבד אלה שהוגדרו מראש לך ע"י MS אין לי מושג, מהיכרות שלי עם המערכת לא הייתי בונה על זה יש סיבה למה כל העולם עובד עם OpenLDAP או עם LDS\ADAM בכל דבר שדורש מינימום של פיתוח כיוון שMS אנסו את התקן.

תעבור על 4511\על הרישומים הרלוונטיים בMSDN לבדוק את הפיזביליות של זה, ואם לא אז אני לוקח היום 300 יורו לשעת ייעוץ אם אני צריך להגרר לארץ מהולנד\אנגליה, בהצלחה.

[DXM]

טוב,

אז לא תמיד להטמיע מערכת ניהול זהויות זה קל צד שלישי זה קל, אבל אפשר להגדיר למנהל הרשת שהוא יוצר יוזרים אך ורק דרך סקריפט שמוודא שלא נוצר משתמש כזה לפני המכיל DB עם כל שמות המשתמשים אי פעם (או אם זה מעט אנשים סתם קובץ TXT פשוט), חלקם אפשר לשלוף מTOMBSTONE אם עוד לא עבר זמן המחיקה שלהם.

כמובן שלצפות ממנהל רשת שיעשה את העבודה דרך סקריפט זה הימור די גרוע, אבל אם כבר מישהו בנה פעם את התוכנה גרוע אז שידע להתמודד איתה.

אבל לפחות זה יחסוך תוכנת ניהול זהיות ו/או הטמעת קוד חדש כמו שדובי הציע למערכת...

כמובן שהדבר לא מונע יצירת משתמשים דרך הAD כך שאם אתה עושה את זה כי יש לך בעיה של אבטחת מידע זה לא מועיל. כלומר זה מועיל רק במקרה של ניהול ומניעת טעויות של מנהל הרשת...

[multicore]

משהו כזה באמת בלתי אפשרי לממש ללא פתרון צד ג'.

ראיתי משהו דומה אצל חברה מסחרית גדולה לצרכי תאימות רגולציה. הפתרון היה פיתוח פנימי.

[igor_it]

השאלה היא מה בדיוק צריך לבדוק: sAMAccountName או givenName או sn או displayName.

sAMAccountName הוא ייחודי בכל מקרה. גלבי בדיקה של displayName, אפשר פשוט לשפוך רשימה לבסיס נתונים (כל שבוע, כל יום, כל שעה, כל דקה) ולבצע בדיקה מולו. זה לא מסובך.

[alex.turovsky]

חבר'ה, תודה על התשובות(במיוחד לפו הדב).

ה-Workaround שהלקוח בחר ליישם הוא שמרגע זה, הם לא ימחקו משתמשים אלא ישימו אותם ב-DISABLE ואז גם המשתמש מבוטל וגם הוא נשאר ב-Active Directory מבלי שתיווצרנה כפילויות.