Trabalhando com o atributo accountExpires do Active Directory

No FIM2010, o formato padrão de data/hora é yyyy-MM-ddTHH:mm:ss.fff. Este é um formato ISO8601 com três dígitos de precisão fracional.

O atributo accountExpires no Active Directory é um atributo do tipo Integer8, um número de 64-bit representando data/hora (em UTC) como o número de intervalos de 100-nanosecondos desde 01/01/1601 12:00 AM.

Para trabalhar com o atributo accountExpires, seja importando ou exportando ele no FIM2010, você precisará desenvolver uma “Rule Extension” para usar no seu Active Directory Managente Agent.

Abaixo alguns exemplos de como fazer isso utilizando a linguagem C#. Trabalharemos com o accountExpires (AD) e EmployeeEndDate (FIM2010):

accountExpires –> EmployeeEndDate

if (csentry["accountExpires"].IsPresent) {    DateTime dtFileTimeUTC = DateTime.FromFileTimeUtc(csentry["accountExpires"].IntegerValue);    mventry["employeeEndDate"].Value = dtFileTimeUTC.ToUniversalTime().ToString("yyyy'-'MM'-'dd'T'HH':'mm':'ss'.000'"); }

   

accountExpires <- EmployeeEndDate

if (mventry["employeeEndDate"].IsPresent) {    FormatProvider culture = new CultureInfo("en-US", true);    DateTime EndDate;    EndDate = DateTime.Parse(mventry["employeeEndDate"].ToString(), culture);    csentry["accountExpires"].Value = EndDate.ToFileTimeUtc().ToString(); }

Marcar uma conta que está sendo provisionada para expirar daqui a 180 dias

csentry["accountExpires"].Value = DateTime.Now.AddDays(180).ToFileTimeUtc().ToString();

Até Breve!

Como configurar corretamente uma conta de rede para o Management Agent do Active Directory

Olá!!!
Um ponto abordado quando falamos de contas de serviço para os Management Agents do FIM2010 é o nível de permissões que essas contas precisam ter.
No caso do  uma conta comum é sulficiente.
Quando você configura um ADMA (Active Directory Management Agent) no seu ambiente, você precisa fornecer uma conta que será usada pelo seu agente para se conectar ao Active Directory.
Para o FIM2010, não há necessidade de usar uma conta de usuário do AD que seja membro de grupos de segurança administrativa (Ex.: Domain Admins).

Definido como “Melhores Práticas”, você deve usar uma conta de usuário padrão. No entanto, a conta deve ter direitos suficientes para garantir que informações possam ser trocadas entre o FIM2010 e o AD. Essas informações são trocadas de duas formas distintas:

• Importaçao de Informações (Import)
• Exportação de Informações (Export)

Para garantir que uma conta comum tenha as permissões apropriadas para fazer esse sincronismo de informações entre o AD e o FIM2010, basta que a conta tenha permissão de consulta ao DirSync, uma vez que a conta não consultará as OU´s que foram configuradas no seu MA.
A forma de configurar essa permissão, através da guia de segurança do domínio, é permitir “Replicating Directory Changes” para a conta conforme imagem abaixo:

Além da permissão dada acima, devemos também dar permissão de “Full Control” em todas as OU´s que o MA precisará gerenciar. Caso você não de a permissão nas OU´s o Synchronization Engine mostrará mensagens de “permission-issue”.
Em breve, mais posts… Até mais!!!