Автор Тема: Деллегирование прав для HR  (Прочитано 2739 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн goro

  • Старожил
  • ****
  • Сообщений: 512
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Деллегирование прав для HR
« : 13 ноября 2017, 14:11:09 »
Добрый день.
Наверняка тема на раз подымалась, но исчерпывающего простого ответа я не нашел.
Итак нужно дать права сотрудника HR отдела на такие операции:
редактирвоание\заполнение телефона
редактирвоание\заполнени должности, отдела, организации, руководителя подчиненных
перемещение в другую OU
добавление Фото

Буду очень признателен тем кто поделится удачным опытом.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Деллегирование прав для HR
« Ответ #1 : 13 ноября 2017, 14:28:56 »
Ну дык делегирование на OU в оснастке AD Юзеры и компьютеры, там выбери Custom и настраивай нужные тебе объекты и их свойства. А потом в оснастке у юзера на компе (придется RSAT поставить) сделать настроенную MMC-шку (именно mmc, а не родную оснастку) с "New Windows from here" (Новое окно отсюда) на нужной OU, чтобы они только определенные OU видели. И ярлык на эту mmc.

Но, если честно, я бы кадровикам это не доверял. Особенно перемещение между OU.

Самый нормальный вариант, когда они в 1С всё это вносят, а ты повершеллом забираешь и сам в AD меняешь нужные поля.

Оффлайн goro

  • Старожил
  • ****
  • Сообщений: 512
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Деллегирование прав для HR
« Ответ #2 : 13 ноября 2017, 14:53:46 »
Да перемещение по OU действительно немного рисковано...

Но телефон, должность, отдел... ничего рискованого.

А названия этих свойств:
телефона, должности, отдела, организации, руководителя подчиненных, фото

нет выписаных, чтоб не искать долго(не сочитет за наглось)...?

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Деллегирование прав для HR
« Ответ #3 : 13 ноября 2017, 15:01:12 »
Но телефон, должность, отдел... ничего рискованого.

На самом деле, для кадровика просто будет неудобно в двух программах вводить. А тебе просто вычислить, как забирать из 1С (или что у них там), это самый сложный момент. А там в повершелле дальше просто.

Вот у меня какой-то скрипт:
import-csv c:\Scripts\users.csv | Foreach-object {
 
    $Fname = $_.FName
    $LName = $_.LName
    $User = $_.Username
    $Phone = $_.OfficePhone
    $title = $_.title
    $department = $_.department

    try {
        Set-ADUser -Identity $User -OfficePhone "$($Phone)" -Title "$($title)" -Department "$($department)" -confirm:$false -ErrorAction Stop
        Write-Host "У пользователя $($User) атрибуты изменены на следующие:" -ForegroundColor Gray
        Write-Host "Номер телефона: $($Phone)" -ForegroundColor Green
        Write-Host "Отдел: $($department)" -ForegroundColor Green
        Write-Host "Должность: $($title)" -ForegroundColor Green
        Write-Host  ""
    }
    catch {
        Write-Host "Ошибка изменения атрибутов пользователя $($User) : [$($_.Exception.Message)]" -ForegroundColor Red
    }
}

Атрибуты-то нужны сам поищи, заполняешь нужные поля на тестовом юзере, потом

Get-Aduser <имя учетки тестового юзера> -Properties * | fl

И ищешь свои атрибуты.




Updated: 13 November 2017, 15:13:16

А-а, вот из этой темы скрипт:   Есть ли какие то недорогие удобные средства для работы с AD/адресной книгой.
« Последнее редактирование: 13 ноября 2017, 15:13:16 от Retif »

Оффлайн goro

  • Старожил
  • ****
  • Сообщений: 512
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Деллегирование прав для HR
« Ответ #4 : 15 ноября 2017, 17:47:22 »
А как в случае необходимости отозвать диллегирование?

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Деллегирование прав для HR
« Ответ #5 : 15 ноября 2017, 17:58:36 »
А как в случае необходимости отозвать диллегирование?
Вкладка Security в свойствах OU, оттуда удалить. В оснастке вид должен быть Advanced, чтобы эта вкладка была видна.

Оффлайн goro

  • Старожил
  • ****
  • Сообщений: 512
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Деллегирование прав для HR
« Ответ #6 : 16 ноября 2017, 12:06:16 »
Еще остался вопрос о том как отделу кадров добавлять фото?
Какой наиболее простой и удобный способ?

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Деллегирование прав для HR
« Ответ #7 : 16 ноября 2017, 12:26:10 »
goro, а у вас Exchange есть? Вообще в принципе добавление в AD фотографии с её убогим размером 64x64 как-то не айс. Еще и в самой AD её и не увидишь без костылей.

Оффлайн Fray

  • Администратор
  • Олдфаг
  • *****
  • Сообщений: 6668
  • Рейтинг: 58
  • Пол: Мужской
    • Просмотр профиля
    • IT-Бложек
  • Откуда: Петербург
Деллегирование прав для HR
« Ответ #8 : 17 ноября 2017, 16:45:00 »
а у вас Exchange есть? Вообще в принципе добавление в AD фотографии с её убогим размером 64x64 как-то не айс. Еще и в самой AD её и не увидишь без костылей.
Кроме Exchange с большиа разрешением фотографий, можно еще Sharepoint поюзать в выгрузкой в AD. Но там фотки 64x64 дефолтно
MCSE: Messaging, MCSE: Communication, MCSE: Productivity, MCSA: Office 365, MCPS
my blog - http://it-blojek.ru

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Деллегирование прав для HR
« Ответ #9 : 17 ноября 2017, 16:54:32 »
Но там фотки 64x64 дефолтно
Такие и напрямую в AВ можно, без шарепоинта.

Оффлайн goro

  • Старожил
  • ****
  • Сообщений: 512
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Деллегирование прав для HR
« Ответ #10 : 24 ноября 2017, 17:03:01 »





Updated: 24 November 2017, 17:03:25

Сейчас самая больша япроблема это диллегировать права на город, область, край, не могу найти эти свойства...

Get-Aduser <имя учетки тестового юзера> -Properties * | fl

посмотрел, но все равно не вижу
« Последнее редактирование: 24 ноября 2017, 20:30:42 от goro »

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Деллегирование прав для HR
« Ответ #11 : 24 ноября 2017, 19:38:03 »
посмотрел, но все равно не вижу
Цитировать
PS C:\Windows\system32> Get-Aduser test -Properties * | fl
c                                    : RU
CannotChangePassword                 : False
City                                 :
CN                                   : test
co                                   : Россия
codePage                             : 0
Company                              : *************
CompoundIdentitySupported            : {}
Country                              : RU
countryCode                          : 643
Created                              : 13.08.2011 11:59:45
createTimeStamp                      : 13.08.2011 11:59:45
Department                           : ИТ
Description                          :
DisplayName                          : test
Division                             :
EmailAddress                         : test@*****************.ru
EmployeeID                           :
EmployeeNumber                       :
Enabled                              : True
extensionAttribute15                 : RU
Fax                                  :
GivenName                            :
HomeDirectory                        :
HomedirRequired                      : False
HomeDrive                            :
HomePage                             :
HomePhone                            :
Name                                 : test
Office                               :
OfficePhone                          : *******
Organization                         :
otherFacsimileTelephoneNumber        :
OtherName                            :
POBox                                :
PostalCode                           :
sn                                   :
st                                   : RU
State                                : RU
StreetAddress                        : test
Surname                              :
telephoneNumber                      : *******
Title                                : ******

Оффлайн goro

  • Старожил
  • ****
  • Сообщений: 512
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Деллегирование прав для HR
« Ответ #12 : 24 ноября 2017, 20:32:49 »
в таком виде я вижу...
А вот при делигеировании...


не нахожу их тут

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Деллегирование прав для HR
« Ответ #13 : 24 ноября 2017, 22:33:12 »
ааа  ??? вот тут я хз

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Деллегирование прав для HR
« Ответ #14 : 25 ноября 2017, 11:01:32 »
это диллегировать права на город, область, край, не могу найти эти свойства...
На предыдущей странице User Object выбери.