Czasowe członkostwo w grupie Active Directory

Czasowe członkostwo w grupie Active Directory

Wraz z Windows Server 2016 w zakresie Active Directory dołożona została funckjonalność „Privileged Access Management Feature”. Aby ją włączyć należy wykonać polecenie:

Uwaga – operacja jest „nieodwracalna” – podobnie jak w zamierzchłych czasach było to w przypadło włączenia AD Recycle-Bin. Także jeśli masz wątpliwości, czy na pewno nie będzie konieczności powrotu do niższego poziomu funkcjonalności lasu lub domeny – nie wykonuj tego polecenia (chociaż osobiście sugeruję wyeliminować systemy uniemożliwiające podniesienie poziomu funkcjonalności z Twojego środowiska, zamiast utrzymywania przestarzałego środowiska bo jakiś developer napisał niekompatybilne oprogramowanie…)

Zostanie wyświetlony ładny komunikat z ostrzeżeniem, który trzeba zaakceptować i w zasadzie tyle. Już możemy cieszyć się z nowego (nie do końca… 😉 ) Feature’sa.

Przetestować funkcjonalność można to w bardzo prosty sposób:

Wpisujemy do zmiennej interesujący nas okres czasu członkostwa w grupie:

Dodajemy użytkownika do grupy ze wskazaniem na interesujący nas okres czasu:

Weryfikacja:

Po wskazanym czasie użytkownik zostaje automatycznie „usunięty z grupy”.

* Nie do końca jest to nowa funkcjonalność, bo wcześniej dało się są zaimplementować bazując na ldifde, skryptach i dynamicznych obiektach, ewentualnie bazując na Forefroncie. Natomiast teraz jest to po prostu funkcjonalność dostępna dla każdego bez wchodzenia na zaawansowany poziom inżynierii 😉

Enjoy.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *