问拥有大量营业额和许多系统的大型组织如何执行帐户配置？

EN

既然你问..。

我是一个大大学的系统管理员。我们有两万至二万四千个账户，这取决于我们在学区的位置，以及国家是否规定我们接受更多的学生。自从我们第一次开始给学生提供大量的计算机帐户(如果我记得的话，在VAX的日子里)，帐户准备是我们必须解决的一个问题。正因为如此，我们在没有真正的商业解决方案之前就开发了帐户管理。

在过去十年的大部分时间里，我们需要提供三个主要的特征筒仓：

• Microsoft活动目录
• 诺维尔eDirectory
• NIS-+

在过去的12个月中，我们刚刚关闭了最后两个，只剩下一个主要的身份商店。然而，做三件事的记忆仍然鲜活。

帐户创建过程如下所示：

1. 学生被标记为符合条件的帐户.
2. 每天创建一次CSV导出并放到正确的服务器上。
3. CSV文件是针对NIS+状态处理的，应用更改。
   • 创建了新的学生，并提供了带有配额的home目录。
   • Nolonger合格学生帐户被禁用(2周后，删除)
   • 当前的学生将根据需要更新他们的目录详细信息(如全名、姓氏)。

4. 然后由AD/eDir标识引擎处理该文件。
   1. 帐户是根据需要创建的，包括主目录、默认组、打印配额设置、学生电子邮件设置(Live@Edu)以及其他一些我可能忘记的东西。
   2. 所有用户都会更新目录详细信息(全名、姓氏以及其他一些详细信息)。这将覆盖本机工具所做的任何手动更改，这是一件好事。
   3. 删除的处理方式与NIS端相同。

因为我们运行了三个不同的环境，所以我们很早就设计了一个完全独立的密码管理系统。这个钩子与创建的do连接到同一个标识系统中。学生进入密码重置页面，通过这个过程，依次启动事件到ID引擎来更新密码。我们还做了密码老化和复杂性规则，作为这个家庭建造的系统的一部分。

上面所有的代码都是由我们构建的，并且是非常自动化的。人类的输入是数据输入到班纳，在那里学生的详细信息是最初输入的。符合条件的帐户状态是在班纳内处理的，所以甚至删除都是完全自动化的。

虽然在这些更新中有更多的目录数据(FERPA要求说我们不应该对学生做这种事情)，但是工作人员帐户的处理方式是相同的。

仍然有大量人力投入的一个领域是状态更改，如“学生到员工”，反之亦然。这完全是由于在学生、工人和员工上课之间的模糊界限应该在哪里缺乏共识。这是在近十年的抱怨之后才达成的协议，所以我们希望现在就能实现自动化。

另一个减少了我们将密码推入更多系统的需求的领域是对任何基于web的SSO的无情驱动。我们使用CAS来实现这一点，而且它运行得很好。正因为如此，我们不需要将密码输入黑板，也不需要像通常的各种奇怪的应用程序那样进入任何一所大学。

我们甚至为我们的服务台工作人员创建了一个web应用程序，它利用这个系统来处理诸如入侵者锁定、组成员更改和AD中计算机对象位置移动等问题。这减少了SysAdmin员工的日常工作负担(嗨！)到了这样的地步，我们正在做更多未来的项目，而不是每天从服务台交给我们的工作。

如果我必须从头开始，我可能会使用一些非常好的身份管理框架，现在已经存在。Novell的身份经理非常，非常好，但可悲的是，非常非常昂贵。现在，我们几乎在每一步都使用编译代码，这意味着我们有两个系统程序员(一个是Windows方面的，一个是Unix方面的)，他们的突然死亡将给整个大学带来巨大的伤害。使用第三方应用程序实现这一关键功能意味着我们将大大减轻我们目前存在的“啤酒卡车漏洞”。

然而，这个解决方案就像手套一样适合我们的需求；因此，摆脱它就会感觉花更多的钱去做一些做得更少，因而没有吸引力的事情。

只要他们登录的系统在第一次登录后要求他们创建一个新密码，这个方法就显得非常有效。还应该将LDAP用户创建与数据库中用户的创建结合起来，以减少It人员所需的步骤数。