Использование AD в качестве каталога общего назначения [закрыто]
Я работал на большое (100k + пользователи) среда, где AD использовался для содержания существенного объема общей информации сотрудника - в дополнение к обычной электронной почте и именам user\department, у нас также было несколько номеров телефона, физическое местоположение станции (вниз к в месте стройинспекции), организационная иерархия (кто работал на то, кого), число сотрудника, фото миниатюра, нормальный часовой пояс, дата начала и набор другого материала, который я не могу вспомнить теперь.
По общему признанию у нас было довольно гладкое в агрегате собственных нужд управляемого доступа API (и некоторый процесс авторизации для движения с одобрением доступа к ним), который позволил нам управлять делегацией прав обновить определенные свойства AD на на user\per основание группы, таким образом, было легко связать обновления этих свойств AD безопасно в приложения HR, который является, где управление этим видом данных было обработано.
Как пользователь в крупной организации я нашел, что имение в наличии этого вида информации было действительно полезно, и способность получить этот вид данных через простой запрос LDAP в рамках моих собственных приложений, не имея необходимость переходить через обручи для получения доступа к базам данных HR была также очень полезна.
При использовании Exchange, это может быть полезно, позволив людям искать других в глобальной адресной книге, особенно для крупных организаций. Если Вы не используете Exchange, существует, вероятно, не большое преимущество для этого без некоторого пользовательского программирования.
Однако как меньшая организация мы раньше выполняли Exchange, все еще выполняли AD, и никогда не помещали неданные для входа в него кроме полного имени и в нескольких присоединении отдела случаев.
Я должен добавить, самый большой контрольно-пропускной пункт к этому, это держащее AD в курсе является функцией IT и во многих организациях нет хорошего процесса для получения видов информации, которая заполнила бы каталог общего назначения от, например, HR к IT - часто, безопасность или требуемые полномочия являются приоритетом IT для новых наймов и обновлений.
Мы используем информацию телефона, организационная информация (питаемый от нашей системы HR) и несколько extensionAttributes для разного материала. Организационная информация неоценима с точки зрения IT, как можно быстро видеть, кто Вы имеете дело с, или команды контакта в противоположность людям. Информация телефона может быть запрошена с помощью простого веб-фронтэнда. Пользователи также привыкли к наблюдению довольно мало информации через Outlook. О, организационная информация также привыкает для динамичного заполнения некоторых глобальных групп, на основе того, в каком отделе Вы находитесь. Эти группы затем используются для обеспечения основанного на отделе доступа. Короче говоря, AD является хорошим местом для содержания материала как это.
Я видел, что это раньше в среде контролировало, когда определенные компьютеры использовались в качестве своего рода системы контроля сотрудника, но это не имеет рядом столько же смысла сколько использование его LDAP наряду с ним.
Мы используем его в качестве dir общего назначения для работы с обменом, однако, мы все еще используем его с пользовательским автором из соображений безопасности. Если бы это было только для внутренних сотрудников офиса, то это не было бы необходимо для нас.