web-dev-qa-db-ja.com

ActiveDirectoryコンピュータアカウントとユーザーアカウントを結び付ける

ADでは、何らかの方法でユーザーアカウントをコンピューターアカウントに関連付けることは可能ですか?アイデアは、ユーザーが所有するコンピューターをADに照会するプログラムを作成したいということです。

2
P.Brian.Mackey

ADユーザーとコンピューターには、各コンピューターオブジェクトの[管理者]フィールドがあります。このフィールドにユーザーのADアカウントを追加し、それを使用してワークステーションの所有者を識別することができます。

私が理解しているように、「管理者」フィールドにユーザーを追加することによって付与される追加のアクセス許可はありません。記録を残すためだけにあります。

私が採用したもう1つの方法は、「説明」フィールドを標準化して、一貫した情報のセットを保持することです。たとえば、コンピュータの説明フィールドには、次のものがあります。

デスクトップ、ブリスベン、Dell Optiplex 720、Fred Bloggs、2007年1月2日

それから、場所、コンピューターの種類、モデル、ユーザーの名前、または購入日を解析して引き出すのは非常に簡単です。ログオンスクリプトで同じ情報をOSのマシンの説明フィールドにコピーすることもできます。

もう1つのオプション-ADを使用すると、他のデータベースと同様に、スキーマを拡張および拡張できます。これを使用して カスタムフィールドを追加 。これはもう少し複雑であり、ネットワーク管理の「選択の余地がない限り、デフォルトを台無しにしない」ルールに違反するリスクがあります。

3
Chris Thorpe

私の好みの方法は、ユーザー名をコンピューター名に自動的に関連付けるインベントリソフトウェアを使用することです。この情報をADで維持した場合、人員や機器を変更するたびに手動で更新する必要があります。私のネットワークが私のためにそれをするのなら、なぜ私は手動で何かをしたいのですか?

OCS Inventory NG は優れたフリー/オープンソースの代替手段です。ユーザーインターフェイスが特定の検索に適していない場合で、SQLを知っている場合は、MySQLデータベースに直接クエリを実行することもできます。すべてのワークステーションがログイン時にサーバーにチェックインするように設定すると、誰がどのコンピューターにログインしているかを常に知ることができます。

2
Skyhawk

ユーザーが複数のマシンにログオンしたり、複数のユーザーが同じマシンにログオンしたりできるため、私が覚えていることからすると、あまり良い方法ではありません。

小規模または適切に制御された環境で1対1(1台のマシンから1人のユーザー)であると仮定すると、このようなものを一緒にハッキングできる可能性があります...

締め切りまでの時間によっては、ログインスクリプトで、vbscriptまたはバッチを介して誰がどのマシンにログインしているかを更新する場合があります。その情報をサーバー共有上のフラットファイルに追加し、後で独自の解析を行うことができます...

サンプルスクリプト(テストされていません)echo "%USERNAME%on machine%SYSTEMNAME%" >> S:\ admins\servermap.txt

次に、ファイルを調べてユーザー名の後にマシン名を返すvbscriptを使用して、後でそれを解析します...

または、賢い場合は、ログオンスクリプトで同じことを行うことができますが、代わりに、ユーザーのADの説明フィールドまたはadmodなどの使用していない他のフィールドにマシン名を書き込みます...ただし、管理者アクセスが必要になります.。。

admod -b dc = test、dc = net "description ::%USERNAME%COMPUTER"

1
Matt

それはあなたが「所有する」という意味に依存します。彼らが毎日ログインしているステーションを意味する場合は、ドメインコントローラーセキュリティイベントログを解析し、ログイン/ログアウトイベントをワークステーションに関連付けることで、それを取得できます。または、セキュリティイベント-ワークステーション自体のログ。

DCのログインイベントは、ログイン元のIPを示しているため、IPをマシン名に一致させるには、マシンアカウントのログインを解析する必要があります。ワークステーションログのクエリは、そのマシンにログインしているユーザーのみを表示するため、より優れていますが、セキュリティログをオンにする必要があります。 XPではデフォルトでオフになっていますが、Vistaおよび7ではデフォルトでオンになっています。

1
sysadmin1138

いいえ、Windows ADマシン/コンピューターに結合されていると呼ばれるものは、実際にはWindowsセットアップのみであり、物理マシンはWindows ADによって識別されないため、これを行うことはできません。あなたはそれを起動することができます:

  • 任意のコンピューターの画像から
  • 別のコンピューターのディスクから
  • 1台の物理マシンで複数の仮想マシンをドメインに参加させる
  • 同じWindowsセットアップで複数のログインセッションを行うには
  • リモートターミナルログオンセッションを備えたハードディスクのないマシンがあります。

したがって、DCは物理的なハードウェアコンピュータを検出しません。理論的にも、物理的なセキュリティユニットを何と見なすかは明確ではありません。

私はSFで同様の質問をしようとしましたが、終了しました。

あなたの質問の運命が違うことを願っています

私はあなたの質問に賛成しました、続けてください!