Uvítací mail po přidání uživatele do AD

Take

Uvítací mail po přidání uživatele do AD
« kdy: 24. 07. 2019, 12:37:14 »
Ahoj,
Chci se zeptat, jestli se dá nějak udělat, aby když přidám uživatele včetně emailu do Active Directory s povoleným přístupem na RDP, tak aby mu po přidání přišel automaticky mail s přihlašovacími údaji? 
Klasický uvítací mail, akorát navázán na AD.
Máte někdo zkušenosti nebo nějáké nápady?

Díky



Medo77

  • ****
  • 288
    • Zobrazit profil
    • E-mail
Re:Uvítací mail po přidání uživatele do AD
« Odpověď #1 kdy: 24. 07. 2019, 13:08:04 »
IMHo to asi nejde, nakolko nedisponujes s heslom v citatelnej podobe. Vies ho len pri vytvarani usera.
(nevies ho z AD vycitat - mozes ho mat akurat niekde poznacene).

Asi by som isiel cestou CMD.
dsadd -meno, priezvisko, pass (predpokladajme, ze OU je nemenna), a nasledne toto vsetko cez premenne.
sendemail.exe -od koho - komu - predmet - telo mailu (s premennymi) -smtp_server - smtp_ucet - smtp_pass

Tie premenne logovat do .txt ak sa k nim chces neskor vratit a nechces dumat, co si tam vlastne nastavil. Ak nie, tak len change password ...

Mail usera (pokial bol zadany), by siel vycitat z AD (resp. ho vies, ak to zalozis cez dsadd, cize to bude dalsia premenna).

robac

  • ***
  • 197
    • Zobrazit profil
    • E-mail
Re:Uvítací mail po přidání uživatele do AD
« Odpověď #2 kdy: 24. 07. 2019, 15:11:45 »
Ahoj,
Chci se zeptat, jestli se dá nějak udělat, aby když přidám uživatele včetně emailu do Active Directory s povoleným přístupem na RDP...
Opravdu je to dobrý nápad? Posílat heslo do AD přes nezabezpečený protokol???
Pokud něco takového posílám, tak v zašifrovaném ZIPu a heslo v SMS...

crown

  • ****
  • 383
    • Zobrazit profil
Re:Uvítací mail po přidání uživatele do AD
« Odpověď #3 kdy: 24. 07. 2019, 16:37:30 »
Predpokladam, ze nemluvi o heslu, ale o popisu, jak vyuzit RDP a adresu serveru. Heslo se prece bere z AD a to uzivatel ma, kdyz uz se dostal do mailu.

robac

  • ***
  • 197
    • Zobrazit profil
    • E-mail
Re:Uvítací mail po přidání uživatele do AD
« Odpověď #4 kdy: 24. 07. 2019, 18:56:54 »
Uvítací mail...
...když přidám uživatele včetně emailu do Active Directory...
....aby mu po přidání přišel automaticky mail s přihlašovacími údaji?

Když je uživatel do AD teprve přidáván, tak heslo nemá, ne?

Do mailu, pokud je to Exchange (nebo jiné řešení propojené s AD), tudíž také přístup nemá. Btw. kdyby se heslo posílalo jen v rámci jednoho Exchange, tak proti tomu zas tak nic moc nemám (neb se nezašifrované heslo nebude pohybovat po internetu).

Ale třeba jsem tazatele jen špatně pochopil...


Re:Uvítací mail po přidání uživatele do AD
« Odpověď #5 kdy: 24. 07. 2019, 21:10:02 »
Technicky to není problém v powershellu nascriptovat, je sto stejně pohodlnější než tvořit uživatele ručně v GUI. Ovšem funkčně to zadání smysl nedává pokud ho tedy chápu správně.

Jak už tu zaznělo,
- posílat přihlašovací údaje někomu ven je totální bezpečnostní fail
- posílat někomu přihlašovací údaje interně s tím, že aby si je přečetl, potřebuje znát právě tyhle přihlašovací údaje je poněkud hloupé a docela se nám to pěkně zacyklovává.

reálně by mi smysl dávalo třeba poslání hesla SMS na telefon zavedený v AD - to je celkem použitelná recovery procedura i pro případ obnovy hesla v případě ztráty. Pamatujte, že SMS by neměla obsahovat celé credentials, ale třeba jen heslo! Návodů jak scriptnout SMS v PS je všude miliarda, jen si vybrat...

Telefony musí spolu s podklady pro založení uživatele dodávat personální, jako IT bych se od jejich získávání distancoval.


Take

Re:Uvítací mail po přidání uživatele do AD
« Odpověď #6 kdy: 25. 07. 2019, 19:50:50 »

Heslo samozřejmě nechci posílat jako textovou součást emailu.
Šlo mi především o to aby byl uživatel informován, že má již zřízený účet a věděl své už. jméno a IP serveru.
Heslo si může zvolit sám po prvním přihlášení popřípadě může být odkázán na firemní portál, kde je správce hesel..

Re:Uvítací mail po přidání uživatele do AD
« Odpověď #7 kdy: 25. 07. 2019, 21:44:43 »

Heslo samozřejmě nechci posílat jako textovou součást emailu.
Šlo mi především o to aby byl uživatel informován, že má již zřízený účet a věděl své už. jméno a IP serveru.
Heslo si může zvolit sám po prvním přihlášení popřípadě může být odkázán na firemní portál, kde je správce hesel..
Když máte firemního správce hesel, to takovou věc nemáte pod SSO?
A i kdyby ne, to mají lidi různé loginy do různých systémů? Jestli jo, tak je to šílenost.
Protože pak byste jen oznamoval, že má zřízený přístup k serveru XYZ a hotovo. Login zná a heslo buď taky (ověřuje ho centrální autorita) nebo v nejhorším přes ten firemní správce hesel.

Take

Re:Uvítací mail po přidání uživatele do AD
« Odpověď #8 kdy: 25. 07. 2019, 22:30:51 »

Heslo samozřejmě nechci posílat jako textovou součást emailu.
Šlo mi především o to aby byl uživatel informován, že má již zřízený účet a věděl své už. jméno a IP serveru.
Heslo si může zvolit sám po prvním přihlášení popřípadě může být odkázán na firemní portál, kde je správce hesel..
Když máte firemního správce hesel, to takovou věc nemáte pod SSO?
A i kdyby ne, to mají lidi různé loginy do různých systémů? Jestli jo, tak je to šílenost.
Protože pak byste jen oznamoval, že má zřízený přístup k serveru XYZ a hotovo. Login zná a heslo buď taky (ověřuje ho centrální autorita) nebo v nejhorším přes ten firemní správce hesel.

Nejedná se o zaměstnance, jde mi o vyřešení přístupu pro externí pracovníky, které musíme dostat pouze na jeden náš server. Takže v tomto případě žádné jiné firemní přístupy nemá. Jde mi čistě o RDP.

Michal ZOBEC

  • *
  • 33
  • IT Consultant & Architect & Developer
    • Zobrazit profil
    • Michal ZOBEC LinkTree
    • E-mail
Re:Uvítací mail po přidání uživatele do AD
« Odpověď #9 kdy: 03. 08. 2019, 12:26:47 »
určitě to jde řešit nějakým PS skriptem, včetně nějaké JSON lokální DB, či TXT seznamu účtů kam by si skript zapisoval nové lidi a porovnával aktuální seznam.
Michal ZOBEC
OnPremise & Cloud IT Consultant & Architect & Developer.
More: https://zob.ec/mylinktree