AD новая учетная запись пользователя : создать с нуля или скопировать существующего пользователя?
Кажется, я не могу прийти к единому мнению по этому поводу онлайн. Мой коллега, который пишет нашу документацию, сказал, что "наилучшей практикой" является создание наших учетных записей AD заново и с нуля ... Я никогда не слышал и не читал этого нигде при изучении AD. Каждое задание, которое у меня было (в том числе и в MSP), мы копировали существующие учетные записи, чтобы сделать процесс более оптимизированным, более надежным и просто убрать из процесса некоторые ошибки, связанные с человеческими ошибками.
Я действительно думаю, что единственный аргумент в пользу создания пользователя AD с нуля может заключаться в том, чтобы убедиться, что он не имеет чрезмерных прав и членства в группах ...? Но, конечно, это можно просто исправить после создания учетной записи. Мысли? Спасибо
Если вы больше, чем малый бизнес, ответ должен быть ни .
Существует множество инструментов для управления жизненным циклом удостоверений. и в идеале вы выбираете один из них и внедряете его (опять же, если вы не малый бизнес, это перебор). Microsoft Identity Manager и Azure AD Provisioning Services могут подключаться к внешним системам (например, системам HRIS, таким как Workday), получать информацию оттуда и использовать ее для предоставления ресурсов в других системах, таких как Active Directory.
Кто-то из отдела кадров может добавить нового сотрудника и всех связанных данных с его системой управления персоналом, а также для чего-то вроде MIM, чтобы взять всю эту информацию (имя, местоположение, должность, должность, менеджер и т. д.) и автоматически создать пользователя на основе этой информации и разместить их в правильном группы безопасности для этой должности.
На мой взгляд, лучше создавать пользователей с нуля.
При копировании высока вероятность того, что вы скопируете атрибуты, информацию и разрешения, которые вы не хотели копировать. И даже если вы проверите это после процесса копирования, некоторые вещи могут ускользнуть - поверьте, это было у меня. Мы делаем копирование, и мне это не нравится.
Я считаю, что лучший способ для создания пользователей - это сценарий PowerShell, который выполняет создание и заполняет все необходимые атрибуты в сочетании с хорошо структурированной иерархией групп и последующей обработкой разрешений на основе этих групп. Таким образом, создание новых пользователей может выполняться намного быстрее, чем копирование и проверка того, что нужно изменить после этого.