[发明专利]一种对AD域用户隶属的冗余安全组处理方法

说明书

本发明涉及数据管理技术领域，更具体地，涉及一种对AD域用户隶属的冗余安全组处理方法，包括：登录域控事务自动批量处理工具；建立白名单和对应表；向所述域控事务自动批量处理工具中导入所述白名单和对应表；导入需要核对安全组的域用户信息；将导入的域用户信息与白名单、对应表进行比对，然后对冗余的安全组进行删除处理，对缺失的安全组进行添加处理。本发明能够快速判断域用户隶属于的安全组是否冗余，减少人工操作，作业人员无需逐个核对域用户隶属于的安全组情况，节省人力物力，提高工作效率。

技术领域

本发明涉及数据管理技术领域，更具体地，涉及一种对AD域用户隶属的冗余安全组处理方法。

背景技术

AD域，即活动目录，负责目录数据库的存储、添加、删除、修改与查询等操作。利用AD，我们可以通过对象名称来找到与这个对象有关的所有信息。在AD域控中设置安全组的主要作用是对该安全组中的用户集中管理，具体来说，就是控制域用户的VPN资源访问，共享文件服务器的访问，以及域控管理员等权限的分配。在运维中，每个部门的人员只能打开本部门的文件夹，当需要访问非本部门的共享文件夹时，需要在待访问的部门对应的AD域安全组中添加待访问域用户的域账号。在实际运维中，发现有很多用户具有许多非本部门共享文件夹的访问权限，这不符合信息安全、数据安全的要求，因此需要对域用户隶属于的安全组进行核对，删除其中冗余的安全组。现有的方法为：工作人员定期导出域用户所在安全组的清单以及域用户所在的部门架构清单进行人工核对，若发现域用户隶属于的安全组冗余，则进行删除。但该种方法存在以下弊端：在AD域中会存在一个域账号隶属于多个安全组的情况，这导致在人工判断域用户隶属于的安全组是否冗余时容易出错；通过人工对各个域账号的安全组进行核对，会耗费大量的人力物力，且耗时长，核对效率低。

发明内容

本发明的目的在于克服人工核对容易出错的不足，提供一种对AD域用户隶属的冗余安全组处理方法，能够快速判断域用户隶属于的安全组是否冗余，减少人工操作，作业人员无需逐个核对域用户隶属于的安全组情况，节省人力物力，提高工作效率。

为解决上述技术问题，本发明采用的技术方案是：

提供一种对AD域用户隶属的冗余安全组处理方法，包括以下步骤：

S1.在PC端登录域控事务自动批量处理工具；

S2.建立白名单，所述白名单中包括域用户的合理安全组的名称；

S3.建立对应表，所述对应表包括若干部门组织架构的名称，以及与部门组织架构相对应的共享文件夹访问权限安全组的名称；

S4.向所述域控事务自动批量处理工具中导入所述白名单和对应表；

S5.在步骤S4之后，向所述域控事务自动批量处理工具中导入需要核对安全组的域用户信息；所述域用户信息包括域用户所在部门组织架构的名称、域用户当前隶属的安全组的名称；

S6.将导入的域用户隶属的共享文件夹访问权限安全组与对应表进行比对，对于与部门组织架构相对应的共享文件夹访问权限安全组进行保留处理，对于冗余的共享文件夹访问权限安全组进行删除处理，对于缺少的共享文件夹访问权限安全组进行添加处理；

S7.将导入的域用户中除共享文件夹访问权限安全组以外的安全组与白名单进行比对，若出现有不存在于白名单中的安全组，即冗余的安全组，则进行删除处理；否则，保留安全组。

本发明为一种对AD域用户隶属的冗余安全组处理方法，通过将输入的域用户信息与域控事务自动批量处理工具中导入的对应表、白名单进行比对，判断该域用户隶属的安全组是否冗余。将输入的域用户所隶属的共享文件夹访问权限安全组与对应表进行比对，对于与部门组织架构相对应的安全组进行保留处理，对于冗余的安全组进行删除处理，对于缺失的安全组进行添加处理。将输入的域用户所隶属的除共享文件夹访问权限安全组以外的安全组与白名单进行比对，对于与白名单相对应的安全组进行保留处理，对于冗余的安全组进行删除处理。