Le défi cauchemardesque de chaque administrateur SharePoint est de simplifier l'accès des utilisateurs aux ressources critiques. Les problèmes d'accès des utilisateurs proviennent de permissions inadéquates et d’une gestion des groupes inefficace. De plus, la gestion des autorisations et des groupes de sécurité est vitale pour l'audit de sécurité et de conformité, car elles définissent l'accès aux ressources critiques de chaque utilisateur. Cela signifie que vous avez besoin d'un moyen efficace pour gérer les autorisations et les groupes.
De nombreuses organisations qui utilisent Active Directory s'appuient également sur Google pour des applications et communiquer. Google dispose d'une base de données des comptes utilisateurs, qui peuvent être créés grâce à la console d'administration de Google. Le processus de création de comptes utilisateurs Google est manuel, sauf si vous utilisez un outil comme GAM - en savoir plus.
Certaines organisations, cependant, ont des utilisateurs présents dans Google mais pas dans Active Directory. Dans ce cas, les utilisateurs doivent être ajoutés à Active Directory. Ce processus peut être laborieux et chronophage, à moins que vous utilisiez la solution exposée ci-après.
Une option pour provisionner facilement vos comptes utilisateurs Google dans Active Directory est d'utiliser GAM conjointement à ADManager Plus. Depuis l'interface en ligne de commande de GAM, vous pouvez exporter tous les comptes utilisateurs de Google dans un fichier CSV, y compris les propriétés de chaque compte. Pour ce faire, vous pouvez exécuter la commande GAM ci-dessous :
Maintenant que vous avez le fichier CSV, vous avez juste besoin de provisionner les informations dans Active Directory. Après avoir réalisé un traitement du fichier CSV - par exemple, en supprimant les propriétés vides et les propriétés inutiles pour Active Directory - vous pouvez importer les utilisateurs dans Active Directory en utilisant ADManager Plus. Ceci est possible en utilisant l'option d'import d'utilisateur en masse d’ADManager Plus, que vous pouvez voir dans l'écran ci-dessous.
Import en masse dans ADManager Plus.
En utilisant GAM et ADManager Plus, les utilisateurs peuvent être récupérés de Google et être importés en masse dans Active Directory en quelques étapes simples. En savoir plus sur ADManager Plus.
Avez-vous remarqué que dans Windows, tout ne correspond pas de façon évidente à ce qu’il désigne ? Par exemple, les stratégies de groupe n’ont a rien à voir avec des groupes. L'attribut "display name for a user acoount" ne contrôle pas le nom qui est affiché.
Abordons ce dernier point. Tout d'abord, voyons ce qu’il faut à minima renseigner pour créer un compte utilisateur dans Active Directory. Pour ce qui est des informations associées au nom du compte, vous devez fournir au minimum le nom complet, l'identifiant de connexion et le "Pre-2k logon name", requis par la vue ADUC (Active Directory Users and Computers). Les attributs correspondants sont présentés dans la Figure 1.
Figure 1. Attributs de nommage minimum pour un compte utilisateur nouvellement créé.
Permettre aux techniciens de désinscrire des comptes utilisateurs depuis ADSelfService Plus
Lorsque des employés quittent une organisation, leur compte Active Directory doit être nettoyé et sécurisé. Les comptes utilisateurs des employés doivent être protégés et, après un certain temps, purgés du système. Nous suggérons que les comptes utilisateurs de tous les employés soit désactivés et déplacés vers une unité d'organisation (OU) sécurisée. Le cas échéant, l’appartenance à un groupe de comptes doit également être supprimée.
REMARQUE : Faire une capture d'écran de l'appartenance au groupe est une bonne idée avant de faire ces actions !
Import en masse dans ADManager Plus.
Figure 1. Attributs de nommage minimum pour un compte utilisateur nouvellement créé.