Existe-t-il un moyen d'ajouter un utilisateur à un groupe Active Directory lors de la première synchronisation réussie via ActiveSync ?
Réponses
Trop de publicités?
Je ne suis pas trop sûr de la réponse, mais à ma connaissance, il n'y a aucun moyen pour Websense d'ajouter/supprimer automatiquement des utilisateurs des groupes de l'annuaire, car cela est uniquement contrôlé dans l'annuaire lui-même. Je ne suis pas encore à 100% avec la V7 mais avec la V6.x.x si l'utilisateur n'est pas membre d'un groupe la politique par défaut s'applique automatiquement, donc si vous voulez changer la politique standard qui s'applique à tous les utilisateurs (à moins d'être dans un autre groupe de politique) il suffit de modifier la politique par défaut.
Brent Pabst
Points
6049
Je ne suis pas sûr à 100 % que cela fonctionnerait ou non, mais vous devriez aborder la question de deux façons.
- Active Directory
Théoriquement, vous pouvez créer un filtre AD personnalisé qui est activé chaque fois qu'une condition spécifique est remplie. Par exemple, de nombreuses personnes utilisent des filtres de changement de mot de passe pour capturer le mot de passe et la date à laquelle il a été modifié. Vous pourriez créer un filtre de connexion et essayer de déchiffrer les informations supplémentaires fournies pour exécuter une autre logique afin d'ajouter l'utilisateur à un groupe.
Il n'est pas certain que cela soit facile ou même faisable.
- Échange
Laissons Exchange gérer cette logique. Créez un module complémentaire à Exchange qui gère la connexion ActiveSync et exécute ensuite la même logique que ci-dessus pour ajouter l'utilisateur au groupe.
Évidemment, tout ceci est théorique et peut ou non fonctionner correctement, il s'agira certainement d'une solution personnalisée.
Thecamelcoder
Points
11
Ce n'est pas automatique, mais un script PowerShell script ou une tâche planifiée équivalente pourrait rechercher les objets objectCategory=person qui sont des utilisateurs Exchange (comme homeMDB=*), et qui ont des objets enfants situés sous ExchangeActiveSyncDevices, puis actualiser l'appartenance à un groupe de distribution à l'aide des résultats.
Les objets dont le DN parent inclut l'objet utilisateur et dont l'enfant est CN=ExchangeActiveSyncDevices sont une indication raisonnablement précise d'un périphérique ActiveSync.
La catégorie d'objet serait "msExchActiveSyncDevice".
Vous pouvez également affiner la requête en spécifiant que l'attribut whenChanged est récent. Les dispositifs périmés ont tendance à rester dans AD et ne sont pas supprimés.
Voici un exemple de sortie ldifde d'un appareil ActiveSync :
dn: CN=iPhone5§3939303030323037383031353037,CN=ExchangeActiveSyncDevices,CN=jSmith,OU=Users,OU=HQ,DC=acme,DC=com
changetype: add
objectClass: top
objectClass: msExchActiveSyncDevice
cn:: aVlkjb25llkjnMzkzOTMlkjMDMyMzAzNzM4MzAzMTM1MzAzNw==
distinguishedName::
Q049alk25lNcKnMzkzOTMwMzAzMDMyMzAzNzM4MzAzMTM1MzAzNyxDTj1FeGNoYW5nZUFjdGl2ZV
N5bmNEZXZpYlkjNOPWdhc2tlMlkjLE9VPVVzZXJzLE9VPUhEUVJLLERDPW1paGRxLERDPW1hcnJj
b3JwLERDPW1hcnJpb3R0LERDPWNvbQ==
instanceType: 4
whenCreated: 20121204031102.0Z
whenChanged: 20121206035828.0Z
uSNCreated: 64647685
uSNChanged: 64888478
name:: aVBokjrweNcKnMzkzOTMwhjgdfAzMDMyMzAzNzM4MzAzMTM1MzAzNw==
objectGUID:: odtO+OEUg0aae4kVkQOjRg==
systemFlags: 1073741824
objectCategory: CN=ms-Exch-Active-Sync-Device,CN=Schema,CN=Configuration,DC=acme,DC=com
dSCorePropagationData: 16010101000000.0Z
msExchDeviceAccessState: 1
msExchDeviceFriendlyName: Android_hq_jSmith
msExchUserDisplayName: acme.com/HQ/Users/jSmith
msExchDeviceEASVersion: 14.1
msExchDeviceOS: Android 4.1.1
msExchDeviceType: iPhone5
msExchDeviceID: 3939303030323037383031353037
msExchDeviceModel: SCH-I605
msExchFirstSyncTime: 20121204031102.0Z
msExchDeviceUserAgent: TouchDown(MSRPC)/7.3.00052/
msExchDeviceTelephoneNumber: ******7887
msExchDeviceOSLanguage: English
msExchDeviceAccessStateReason: 1
msExchVersion: 44220983382016
msExchDeviceIMEI: 99000207801507
