Автор Тема: Деллегирование прав для HR  (Прочитано 184 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн goro

  • Постоялец
  • ***
  • Сообщений: 434
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Деллегирование прав для HR
« : 13 Ноября 2017, 14:11:09 »
Добрый день.
Наверняка тема на раз подымалась, но исчерпывающего простого ответа я не нашел.
Итак нужно дать права сотрудника HR отдела на такие операции:
редактирвоание\заполнение телефона
редактирвоание\заполнени должности, отдела, организации, руководителя подчиненных
перемещение в другую OU
добавление Фото

Буду очень признателен тем кто поделится удачным опытом.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 7966
  • Рейтинг: 81
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
Деллегирование прав для HR
« Ответ #1 : 13 Ноября 2017, 14:28:56 »
Ну дык делегирование на OU в оснастке AD Юзеры и компьютеры, там выбери Custom и настраивай нужные тебе объекты и их свойства. А потом в оснастке у юзера на компе (придется RSAT поставить) сделать настроенную MMC-шку (именно mmc, а не родную оснастку) с "New Windows from here" (Новое окно отсюда) на нужной OU, чтобы они только определенные OU видели. И ярлык на эту mmc.

Но, если честно, я бы кадровикам это не доверял. Особенно перемещение между OU.

Самый нормальный вариант, когда они в 1С всё это вносят, а ты повершеллом забираешь и сам в AD меняешь нужные поля.

Оффлайн goro

  • Постоялец
  • ***
  • Сообщений: 434
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Деллегирование прав для HR
« Ответ #2 : 13 Ноября 2017, 14:53:46 »
Да перемещение по OU действительно немного рисковано...

Но телефон, должность, отдел... ничего рискованого.

А названия этих свойств:
телефона, должности, отдела, организации, руководителя подчиненных, фото

нет выписаных, чтоб не искать долго(не сочитет за наглось)...?

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 7966
  • Рейтинг: 81
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
Деллегирование прав для HR
« Ответ #3 : 13 Ноября 2017, 15:01:12 »
Но телефон, должность, отдел... ничего рискованого.

На самом деле, для кадровика просто будет неудобно в двух программах вводить. А тебе просто вычислить, как забирать из 1С (или что у них там), это самый сложный момент. А там в повершелле дальше просто.

Вот у меня какой-то скрипт:
import-csv c:\Scripts\users.csv | Foreach-object {
 
    $Fname = $_.FName
    $LName = $_.LName
    $User = $_.Username
    $Phone = $_.OfficePhone
    $title = $_.title
    $department = $_.department

    try {
        Set-ADUser -Identity $User -OfficePhone "$($Phone)" -Title "$($title)" -Department "$($department)" -confirm:$false -ErrorAction Stop
        Write-Host "У пользователя $($User) атрибуты изменены на следующие:" -ForegroundColor Gray
        Write-Host "Номер телефона: $($Phone)" -ForegroundColor Green
        Write-Host "Отдел: $($department)" -ForegroundColor Green
        Write-Host "Должность: $($title)" -ForegroundColor Green
        Write-Host  ""
    }
    catch {
        Write-Host "Ошибка изменения атрибутов пользователя $($User) : [$($_.Exception.Message)]" -ForegroundColor Red
    }
}

Атрибуты-то нужны сам поищи, заполняешь нужные поля на тестовом юзере, потом

Get-Aduser <имя учетки тестового юзера> -Properties * | fl

И ищешь свои атрибуты.




Updated: 13 November 2017, 15:13:16

А-а, вот из этой темы скрипт:   Есть ли какие то недорогие удобные средства для работы с AD/адресной книгой.
« Последнее редактирование: 13 Ноября 2017, 15:13:16 от Retif »

Оффлайн goro

  • Постоялец
  • ***
  • Сообщений: 434
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Деллегирование прав для HR
« Ответ #4 : 15 Ноября 2017, 17:47:22 »
А как в случае необходимости отозвать диллегирование?

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 7966
  • Рейтинг: 81
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
Деллегирование прав для HR
« Ответ #5 : 15 Ноября 2017, 17:58:36 »
А как в случае необходимости отозвать диллегирование?
Вкладка Security в свойствах OU, оттуда удалить. В оснастке вид должен быть Advanced, чтобы эта вкладка была видна.

Оффлайн goro

  • Постоялец
  • ***
  • Сообщений: 434
  • Рейтинг: 0
  • Пол: Мужской
    • romeo_2205
    • Просмотр профиля
  • Откуда: Киев
Деллегирование прав для HR
« Ответ #6 : 16 Ноября 2017, 12:06:16 »
Еще остался вопрос о том как отделу кадров добавлять фото?
Какой наиболее простой и удобный способ?

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 7966
  • Рейтинг: 81
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
Деллегирование прав для HR
« Ответ #7 : 16 Ноября 2017, 12:26:10 »
goro, а у вас Exchange есть? Вообще в принципе добавление в AD фотографии с её убогим размером 64x64 как-то не айс. Еще и в самой AD её и не увидишь без костылей.

Оффлайн Fray

  • Администратор
  • Олдфаг
  • *****
  • Сообщений: 6044
  • Рейтинг: 53
  • Пол: Мужской
    • fray@sysadminz.ru
    • lushikafu
    • lushikafu
    • Просмотр профиля
    • IT-Бложек
  • Откуда: Петербург
Деллегирование прав для HR
« Ответ #8 : 17 Ноября 2017, 16:45:00 »
а у вас Exchange есть? Вообще в принципе добавление в AD фотографии с её убогим размером 64x64 как-то не айс. Еще и в самой AD её и не увидишь без костылей.
Кроме Exchange с большиа разрешением фотографий, можно еще Sharepoint поюзать в выгрузкой в AD. Но там фотки 64x64 дефолтно
MCSE: Messaging, MCSE: Communication, MCSE: Productivity, MCSA: Office 365, MCPS
my blog - http://it-blojek.ru

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 7966
  • Рейтинг: 81
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл-Москва
Деллегирование прав для HR
« Ответ #9 : 17 Ноября 2017, 16:54:32 »
Но там фотки 64x64 дефолтно
Такие и напрямую в AВ можно, без шарепоинта.