Всем привет.
В Windows Server 2016 появился полезный функционал - режим временного добавления пользователя в группу с автоматическим удалением через указанное время. Т.е. администратор может включить другого пользователя в нужную группу на пару минут для решения срочной задачи и не заботиться про то чтобы эти права у пользователя позже отозвать. Фича работает только через Powershell.
С чего начать? Проверяем режим работы леса, должен быть 2016 и выше:
(Get-ADForest).ForestMode
Проверяем диапазон:
Get-ADOptionalFeature -filter *| select EnableScopes
И включаем функционал, внимаение - включение работает в одну сторону и его отмена невозможна:
Enable-ADOptionalFeature 'Privileged Access Management Feature' -Scope ForestOrConfigurationSet -Target company.com
Отлично. Теперь задаем временной интервал в минутах (можно использовать и часы -Hours) и добавляем пользователя alex в группу "Администраторы домена":
$ttl = New-TimeSpan -Minutes 2
Add-ADGroupMember -Identity "Администраторы домена" -Members alex -MemberTimeToLive $ttl
В любой момент можем проверить сколько осталось времени до удаления пользователя из группы, смотрим на значение TTL:
Get-ADGroup “Администраторы домена” -Property member –ShowMemberTimeToLive
По истечении двух минут пользователь alex будет удален из группы “Администраторы домена” автоматически. Надеюсь он успеет решить проблему за это время.
Успехов.
No comments:
Post a Comment
А что вы думаете по этому поводу?