推 punding: 離職人員跟一般人員在AD中有什麼不一樣嗎?例如會被移到某09/12 20:35
→ punding: OU,或是AD內某欄位的值不一樣?09/12 20:35
AD帳號的話,可以設定帳號停用和啟用。
離職人員的話,會存在資料庫的HR資料表裡面,
我一開始想法是,用SQL SERVER去連AD主機,讀出AD帳號的資料表和HR資料表做JOIN
就可以知道哪些帳號是已經離職了,就可以UPDATE AD帳號的TABLE,改為停用。
不過有查過一些文章,好像是說,微軟讓SQL SERVER連到AD主機,好像只有READ-ONLY
,這就變得有點麻煩了...冏
※ 編輯: bernachom (36.228.181.131), 09/12/2015 21:23:48
→ deadwood: 寫程式從AD server去查SQL server資料找出離職帳號 09/12 22:52
推 liskenny: PowerShell?09/12 22:52
→ deadwood: 然後根據這些資料去把帳號停權如何?09/12 22:53
推 punding: SQL將離職AD撈出存成.csv,再import給powershell直接停用09/12 23:04
→ punding: 這個方向會不會比較簡單一點?09/12 23:04
→ Dino9021: 我用vbs去sql撈出資料然後跑command做需要的事09/13 07:09
POWERSHELL沒有寫過,不過應該是可以嘗試的方向。
我再查查 相關的文章,有問題在問問,謝謝:)
※ 編輯: bernachom (36.228.181.131), 09/13/2015 07:13:04
→ Dino9021: 我做的東西規模比你大很多,要做整個組織架構按照部門階09/13 07:16
→ Dino9021: 級建立巢狀群組,把員工帳號塞進去,然後還要為群組建出09/13 07:17
→ Dino9021: 我做的東西規模比你大很多,要做整個組織架構按照部門階09/13 07:17
→ Dino9021: 級建立巢狀群組,把員工帳號塞進去,然後還要為群組建立 09/13 07:17
→ Dino9021: group mail外加組織最上階不同的人不能寄信到其他單位的09/13 07:17
→ Dino9021: group mail,除此之外判斷員工是否離職、部門名稱異動等 09/13 07:17
→ Dino9021: 等09/13 07:17
→ Dino9021: 但我建議停用帳號這件事情最好是手動做,因為量可能比較 09/13 07:19
→ Dino9021: 大,你可以用程式跑報表出來告訴你哪些帳號是要停用的寄09/13 07:19
→ Dino9021: 給人事確認09/13 07:19
原本我就希望寄個報表,然後用手動的方式去停用..
但是主管好像認為自動化比較好...這部份就照辦就好了..我也就不想去說了..
不過想詢問前輩,您也是用POWERSHELL寫程式,抓出停用的帳號嗎?
謝謝您
※ 編輯: bernachom (36.228.181.131), 09/13/2015 10:14:27
推 littlecut: 停用為什麼要自動化? 每天超多人離職XD?09/13 10:30
主管覺得,,,自動化就不用理他了,,
※ 編輯: bernachom (42.78.229.3), 09/13/2015 11:30:09
推 lovespre: 流程怎麼跑? 紙本或電子收到還是要人去做不是嗎? 09/13 12:00
推 epenpal: 寫console application 一邊撈SQL 一邊call powershell 09/13 12:05
推 punding: littlecut有講到重點,這真的需要嗎?XD 09/13 12:11
主管想要自動化,不理他嗎...冏
流程,應該是HR會把人事資料做離職,
然後我就每天去執行排程,看哪些人離職,然後把帳號停掉..
,然後我心中還是個小小的問題,離職人員量大跟量小,和要不要自動停用
,這個會有差別嗎?? 謝謝
※ 編輯: bernachom (36.228.181.131), 09/13/2015 14:29:03
※ 編輯: bernachom (36.228.181.131), 09/13/2015 14:54:34
→ jashking: 以前做過電銷人員的離職處理,系統會產出LIST,再用批次停 09/13 15:02
→ jashking: 用就可以了,可是那是量大的時候 一個禮拜2ˋ30個,LIST 09/13 15:03
→ jashking: 由電銷中心的HR負責產出,資訊部做事,最好還是由別人 09/13 15:03
→ jashking: 給你資料,照著資料做,不是自己出資料給人確認 09/13 15:04
您好:
批次停用也是系統自動執行囉?
其實理論上應該是要由HR給離職資料才是,
不過...主管說的,就不想爭了= =
※ 編輯: bernachom (36.228.181.131), 09/13/2015 15:34:24
→ Dino9021: 我有說我是用 CBS 讀 SQL 然後再下 command 啊 XD 09/13 17:19
→ Dino9021: auto correct , vbs 不是 cbs 09/13 17:20
您好
您是說,用command連到ad主機?去做帳號的停用嗎?
還是您說的command是power shell 呢?@@
※ 編輯: bernachom (61.231.24.152), 09/13/2015 17:58:27
推 Forgotsome: AD有批次功能指令,可以查一下 09/13 18:08
您好
我知道批次檔.BAT
您指的批次功能指令指的是?
因為我不知道要用什麼關建字去找...謝謝您了
※ 編輯: bernachom (61.231.24.152), 09/13/2015 18:10:17
→ bernachom: 好,先記下了,謝謝:) 09/13 18:16
→ punding: 如果三個月只有一個人離職,你還要每天跑流程去檢查? 09/13 21:06
→ punding: 不是主管的所有需求都要照辦啊,總要想想合理性跟風險 09/13 21:07
→ punding: 他哪天要你把DC都關閉,你要照著做嗎?不合理嘛 09/13 21:08
→ punding: 又,萬一你的程式或指令把在職的人員停用/刪除,這些責任 09/13 21:09
→ punding: 你要扛嗎? 我覺得你遇到的問題要回到這個需求的起點才有 09/13 21:10
→ punding: 答案。 09/13 21:10
→ Dino9021: ad 管理的 command Google 一下就有了 09/13 21:50
謝謝樓上前輩指導:)
唉~因為還是菜鳥,就只能先照辦了...菜鳥的難處...冏
不過前輩的經驗我都有記下來,希望有機會也能和主管討論一下
TECHNET記下來了,謝謝:)
※ 編輯: bernachom (36.228.181.131), 09/13/2015 22:03:31
推 Forgotsome: jeffwang0211.blogspot.tw/2014/01/ad.html?m=1。關鍵 09/14 02:01
→ Forgotsome: 字 AD批次停用/修改,都能做到你要的,先決定離職人員 09/14 02:01
→ Forgotsome: 清單,給HR確認,把清單餵給程式進,結案 09/14 02:01
推 punding: 改一下上面流程,離職人員名單一定是HR給,不要攬在自己 09/14 11:35
→ punding: 身上,誰都沒辦法保證不出事情,至少責任不是IT扛 09/14 11:36
推 asdfghjklasd: 我是HR想搞你,就讓你自己把Admin,IT 帳號,老闆 09/14 11:51
→ asdfghjklasd: 的帳號全自動關掉 09/14 11:51
→ deadwood: 真的,一個自動想法很簡單,但是背後牽扯到很多別的東西 09/14 15:36
→ deadwood: 像上面幾位提到出問題的責任歸屬,最好先想清楚再執行 09/14 15:38
家家有本難唸的經呀...冏
※ 編輯: bernachom (114.25.211.76), 09/14/2015 21:30:30
推 shadow0828: 提出一個想法簡單 但挑戰固定架構又限制時間... 09/15 09:04