客户公司里的帐户安全策略是90天密码过期的,但是有些用户由于出差或者其他原因没有修改密码导致无法登录***等公司应用,客户想了解下如何通过微软最新的数据中心自动化工具System Center Orchestrator实现在用户密码即将到期时提前发送邮件通知。
为了简化这个问题,我们做以下的限定:
- 所需操作的用户账户都隶属于Partners这个组
- 每天自动检查,如果发现有账户的密码在10天内到期,则自动给该用户发送邮件,并抄送给管理员
Runbook原型
要实现所需的功能,需要注册并部署以下的orchestrator IP:
- Active Directory IP: http://technet.microsoft.com/en-us/library/hh553474.aspx
- Exchange IP: http://technet.microsoft.com/en-us/library/jj614570.aspx
以下是实现以上功能的runbook原型(用箭头连接的每个图标叫做Activity),可以看到,Orchestrator的实现方式很简单,完全是图形化界面操作,方便易懂,而且其执行过程是完全可视化的,我们可以通过大屏幕进行实时监控:
接下来简单解释每个Activity的功能:
- 监视日期/时间:该Activity用来确保每天自动运行runbook
- Get Group:该Activity用来获取指定的组名称,可以用我们生产环境里的组名称来代替。
- Get User:该Activity用来获取满足条件的用户,这里可以指定用前一个Activity的返回值来提供参数。
- l 设置日期/时间格式:该Activity用来获取用户密码的过期时间。需要从前一个Activity的返回值获取密码设置时间。设置密码过期时间为80天(90天减去10天)。
- l 比较值:该Activity用来比较用户密码的过期时间和当前时间。
- l Create an Send E-mail: 该Activity用来给该用户和管理员发送警告邮件