Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: Take 24. 07. 2019, 12:37:14
-
Ahoj,
Chci se zeptat, jestli se dá nějak udělat, aby když přidám uživatele včetně emailu do Active Directory s povoleným přístupem na RDP, tak aby mu po přidání přišel automaticky mail s přihlašovacími údaji?
Klasický uvítací mail, akorát navázán na AD.
Máte někdo zkušenosti nebo nějáké nápady?
Díky
-
IMHo to asi nejde, nakolko nedisponujes s heslom v citatelnej podobe. Vies ho len pri vytvarani usera.
(nevies ho z AD vycitat - mozes ho mat akurat niekde poznacene).
Asi by som isiel cestou CMD.
dsadd -meno, priezvisko, pass (predpokladajme, ze OU je nemenna), a nasledne toto vsetko cez premenne.
sendemail.exe -od koho - komu - predmet - telo mailu (s premennymi) -smtp_server - smtp_ucet - smtp_pass
Tie premenne logovat do .txt ak sa k nim chces neskor vratit a nechces dumat, co si tam vlastne nastavil. Ak nie, tak len change password ...
Mail usera (pokial bol zadany), by siel vycitat z AD (resp. ho vies, ak to zalozis cez dsadd, cize to bude dalsia premenna).
-
Ahoj,
Chci se zeptat, jestli se dá nějak udělat, aby když přidám uživatele včetně emailu do Active Directory s povoleným přístupem na RDP...
Opravdu je to dobrý nápad? Posílat heslo do AD přes nezabezpečený protokol???
Pokud něco takového posílám, tak v zašifrovaném ZIPu a heslo v SMS...
-
Predpokladam, ze nemluvi o heslu, ale o popisu, jak vyuzit RDP a adresu serveru. Heslo se prece bere z AD a to uzivatel ma, kdyz uz se dostal do mailu.
-
Uvítací mail...
...když přidám uživatele včetně emailu do Active Directory...
....aby mu po přidání přišel automaticky mail s přihlašovacími údaji?
Když je uživatel do AD teprve přidáván, tak heslo nemá, ne?
Do mailu, pokud je to Exchange (nebo jiné řešení propojené s AD), tudíž také přístup nemá. Btw. kdyby se heslo posílalo jen v rámci jednoho Exchange, tak proti tomu zas tak nic moc nemám (neb se nezašifrované heslo nebude pohybovat po internetu).
Ale třeba jsem tazatele jen špatně pochopil...
-
Technicky to není problém v powershellu nascriptovat, je sto stejně pohodlnější než tvořit uživatele ručně v GUI. Ovšem funkčně to zadání smysl nedává pokud ho tedy chápu správně.
Jak už tu zaznělo,
- posílat přihlašovací údaje někomu ven je totální bezpečnostní fail
- posílat někomu přihlašovací údaje interně s tím, že aby si je přečetl, potřebuje znát právě tyhle přihlašovací údaje je poněkud hloupé a docela se nám to pěkně zacyklovává.
reálně by mi smysl dávalo třeba poslání hesla SMS na telefon zavedený v AD - to je celkem použitelná recovery procedura i pro případ obnovy hesla v případě ztráty. Pamatujte, že SMS by neměla obsahovat celé credentials, ale třeba jen heslo! Návodů jak scriptnout SMS v PS je všude miliarda, jen si vybrat...
Telefony musí spolu s podklady pro založení uživatele dodávat personální, jako IT bych se od jejich získávání distancoval.
-
Heslo samozřejmě nechci posílat jako textovou součást emailu.
Šlo mi především o to aby byl uživatel informován, že má již zřízený účet a věděl své už. jméno a IP serveru.
Heslo si může zvolit sám po prvním přihlášení popřípadě může být odkázán na firemní portál, kde je správce hesel..
-
Heslo samozřejmě nechci posílat jako textovou součást emailu.
Šlo mi především o to aby byl uživatel informován, že má již zřízený účet a věděl své už. jméno a IP serveru.
Heslo si může zvolit sám po prvním přihlášení popřípadě může být odkázán na firemní portál, kde je správce hesel..
Když máte firemního správce hesel, to takovou věc nemáte pod SSO?
A i kdyby ne, to mají lidi různé loginy do různých systémů? Jestli jo, tak je to šílenost.
Protože pak byste jen oznamoval, že má zřízený přístup k serveru XYZ a hotovo. Login zná a heslo buď taky (ověřuje ho centrální autorita) nebo v nejhorším přes ten firemní správce hesel.
-
Heslo samozřejmě nechci posílat jako textovou součást emailu.
Šlo mi především o to aby byl uživatel informován, že má již zřízený účet a věděl své už. jméno a IP serveru.
Heslo si může zvolit sám po prvním přihlášení popřípadě může být odkázán na firemní portál, kde je správce hesel..
Když máte firemního správce hesel, to takovou věc nemáte pod SSO?
A i kdyby ne, to mají lidi různé loginy do různých systémů? Jestli jo, tak je to šílenost.
Protože pak byste jen oznamoval, že má zřízený přístup k serveru XYZ a hotovo. Login zná a heslo buď taky (ověřuje ho centrální autorita) nebo v nejhorším přes ten firemní správce hesel.
Nejedná se o zaměstnance, jde mi o vyřešení přístupu pro externí pracovníky, které musíme dostat pouze na jeden náš server. Takže v tomto případě žádné jiné firemní přístupy nemá. Jde mi čistě o RDP.
-
určitě to jde řešit nějakým PS skriptem, včetně nějaké JSON lokální DB, či TXT seznamu účtů kam by si skript zapisoval nové lidi a porovnával aktuální seznam.