Door Anoniem:
AD is een van de slechtste ID systemen die er is.
Valt best mee. Mist je er van te voren over nadenkt hoe je processen in je bedrijf lopen. Het is zeker niet perfect. Maar daarvoor kun je het koppelen aan andere systemen.
Het is letterlijk een platte spreadsheet.
Dan is er iets mis met je inrichting je gebruikt het verkeerd of hebt verkeerde verwachtingen
Als je een goed Identity Management systeem neemt (IDM van MicroFocus is er zo een) en combineert met Filr dan wordt maintenance van je ID systeem opeens veel makkelijker/beter. Gescripte accountdeactivaties op basis van aanstelling, of ingeschreven staan aan school als student en je bent in eens van een hoop oud zeer af.
Als ik op bijeenkomsten vertel wat ons ID systeem kan dan vallen de AD mensen van hun stoel van verbazing.
Je moet een Identity Systeem als AD niet vergelijken met een Identity management.
Veel van je genoemde punten kan ik ook gewoon zelf bouwen met AD. Echter een IDM systeem kan hier veel meer mee, het is een framework wat er specifiek voor gebouwd id. Het hangt alleen weer af van je requirements of standaard AD voldoet, of dat je meer wilt.
Functionele rechten in IDM zijn gekoppelde rollen en resources, gevoed vanuit systemen als een SIS of salarissysteem en zorgen naadloos voor goede rechten.
Klopt. Dit wordt meestal via een IDM systeem aan AD gekoppeld en eventueel nu andere systemen. Daar is een IDM voor designed en krachtig in. Koppel ze aan elkaar en je hebt een heel goed en mooi systeem.
En natuurlijk zijn dynamische groepen (HUH AD mensen?) helemaal het einde.
AD is heeft inderdaad standaard geen dynamische groepen. Maar hier kun je ook omheen werken met wat scripting. Niet ideaal. Maar er is veel meer wat standaard AD niet kan, maar een IDM systeem wel. Daarom zijn het verschillende producten welke je niet kunt vergelijken met elkaar.
Azure AD heeft dit gelukkig wel, maar mist weer andere functionele punten die een AD wel weer heeft.
Maar als een Windows beheerder de term dynamische groepen niet weet, dan mist hij wat basis kennis. Maar met goede scripting is daar heel goed omheen te werken. Hangt allemaal weer van je eisen pakket af of dit een noodzaak is. Ik heb het nog nooit nodig gehad als harde requirement. Ik kon er altijd omheen zonder al te veel problemen.
Door The FOSS:En open source software? Dat zou echt het Walhalla zijn!
Omdat? Wat is de toegevoegde waarde er van? Maar als het functioneel aan de requirements voldoet, waarom niet? Maar als een ander product het beter kan doen, waarom daar niet voor gaan? Je kiest het beste product, wat aan je requirements voldoet en dat is verder kijken dat een open/closed source software. Ik kom deze eis heel weinig tegen bij bedrijven.
Door Anoniem: Door Anoniem: Door souplost:
Unieke groepen aanmaken op bestandsniveau is een organisatorisch drama.
Valt wel mee. Daarvoor hebben ze AD uitgevonden en is daar erg krachtig in.
Op een gegeven moment zit toch iedereen in elke groep.
Valt wel mee. Je moet eigenlijk wel heel goed nadenk over de setup. Functionele rechten vs specifieke rechten.
Ik denk niet dat jij ooit AD gebruikt hebt in een wat groter bedrijf met een dynamisch gedrag.
Tja... Van 25 tot 16000 of nog groter. Dus wat is groot? Wat is dynamisch? Ik zie het bij overheden, IT bedrijven, Nuts bedrijven. Sommige hebben alles per papier, sommige hebben een HR systeem wat via IDM gekoppeld is, sommige hebben een service desktool voor de automatisering. Zijn allemaal mogelijkheden. Hangt allemaal van het bedrijf af, hoe volwassen het is en wat met precies verwacht van de IT.
AD is juist erg slecht hierin.
Dan gebruik je daarvoor een specifieke IDM oplossing wat er tussen zit. Integratie is hiervoor de oplossing, zoals bij veel producten. Daarin zit juist de kracht van oplossingen. Er is niet 1 product wat alles kan. Gebruik een product waarin het goed is. AD is geen Identity management systeem, maar kan wel goed voor een identity authenticatie vs autorisatie doen.
Al ziet Microsoft dit soms wel iets anders. Maar het zijn wel 2 verschillende systemen die je niet direct met elkaar kunt vergelijken.
Het begint er al mee dat je er geen documentatie in kunt opnemen. Maar op een zeeeeer
beperkt aantal plaatsen is het mogelijk om beschrijvingen op te nemen, en dat betreft dan alleen objecten (zoals accounts
en groepen) en niet de links daartussen.
Daar is weer eventueel tooling voor. Maar daarvoor is AD niet specifiek bedoelt. Zou wel gemakkelijk zijn. Maar met 3de partij software is dit allemaal mogelijk.
Bij ieder groeplidmaatschap zou een datum van toevoeging moeten zijn opgenomen en een veld waarin de reden van
toevoeging is opgenomen, en tevens zouden deze lidmaatschappen voorzien moeten kunnen worden van een
einddatum, en een "disabled" vinkje waarmee je ze voor de authorisatie kunt uitschakelen maar wel kunt laten staan
voor toekomstig terugzetten of voor documentatie doeleinden (wie is er ooit lid geweest van deze groep?).
Je probeert nu een vergelijking te maken tussen een Identity systeem (AD) en een Identity management Systeem of een service desk frontent. . Dat zijn verschillende producten. Ze lijken wel veel op elkaar. Maar zijn wel andere producten, met andere eisen.
Zou wel gemakkelijk zijn in AD, misschien, maar voor veel bedrijven niet noodzakelijk.
Dat ontbreekt allemaal in AD, primitief systeem!
Nee, het zijn verschillende systemen die je nu probeert te vergelijken en daarom mis je bepaalde features.