System Center Configuration Manager и как с ним бороться

Привет.

Хочу поделиться маленьким, но достаточно нужным автоматическим процессом в любой организации, где есть пользователи, работающие с сетью исключительпо через Wi-Fi. Проблема заключается в том, что после конца периода использования пароля пользователи, работающие через Wi-Fi, подключиться к сети уже не могут и изменить пароль, соответственно, тоже. Таким образом получаем недовольного пользователя, простой в работе и  заявку в сервисдеск.
Предлогаемое решение — это оповещение о необходимости смены пароля за 10 дней до конца срока действия. Оповещение — раз в день по почте.
Ранее использовался скрипт на vbs и scheduled task, но время идет и нужно соответствовать 🙂 . При очередном разворачивании в новой инфраструктуре было принято решение перенести данный функционал в Orchestrator 2012.

Для работы необходимо:

1. На Runbook сервере, где будет работать runbook, установить Active Directory Powershell Module 

2. Добавить в Orchestrator Active Directory Integration Pack
Для начала создадим стркутуру папок. Советую иметь строгую иерархию в любой системе.
Например, вот такую:
Создадим runbook, например, Password expire.

Первым элементом в нашем runbook будет Run .Net Script:

Этот скрипт на powershell будет получать из Active Directory значение Maximum Password Age.

$Value = powershell{
import-module ActiveDirectory
(Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge.Days
}

Следующая задача — получить список пользователей, которые работают через Wi-Fi.
В данной инфраструктуре доступ к сети предоставляется на основании AD группы.
Нам нужно ее distinguishedname, например, CN=WiFiAccess-Users,OU=Groups,DC=example,DC=com.
Добавляем второй элемент в наш runbook Get User:

 

Не забываем настроить подключение к Active Directory:

 

И коротко параметры этого элемента:

 

Вам следует вставить свой distinguishedname в разделе Filters -> IndirectMemberOf. И вполне очевидно, что мы отбираем учетные записи, у которых есть почтовый адрес, они активны и их пароль имеет срок использования.

Теперь нам остается проверить, что

MaxPwdAge — (разница в днях между Current DataTime — Password Last Set (это возвращаемое значение из элемента Get User))  меньше 10

Если условие выполняется, будем отправлять оповещение.

Снова используем Run .Net Script в теле script, производим манипуляции со строками 🙂
Текущее время и время Password Last Set это строки
Вот такие:
2015-07-11T01:54:08
2015-07-14T16:03:20

Перевести это в дату проще простого.

[datetime] «2015-07-11T01:54:08»

Берем разницу в днях и передаем её дальше для проверки.

$datediff = [datetime] «здесь подставляем Current DataTime»- [datetime] «Password Last Set»

$PwdDaysLeft =  — $datediff.days

Важно: обратите внимание на кавычки «, если вы используете в скрипте значение типа string, всегда заключайте его в кавычки.

Вот как это выглядит у меня:

 

И данные, которые передаем на проверку:

 

 

 

Добавляем последний элемент нашего runbook.
Это Send Email

Его настройка проста:

Хочу обратить внимание на поле Message. По моему скромному мнению, наиболее читаемый вариант — это html.
Сформируйте простенький шаблончик и вставьте код в поле Message. Не забываем на вкладке Advancеd указать Format HTML:

У меня получилось вот так. Я оставил только кол-во дней. По желанию можно добавить FullName пользователя, многие свойства его учетной записи из Active Directory.

 

Если вы были внимательны, то обратили внимание на 47 дней! Мы же хотели оповещение, если менее 10 дней.

Для этого нужно добавить проверку в link, связывающий два последних элемента, вычисление и отправку почты:

Это условие по умолчанию. Изменим его на следующее:

И для красоты переименуем link-и.

Остался последний штрих — добавить scheduler:

Заключительный вид:

Это был пример простого runbook. Дальше будет интереснее!

 

Александр Петлевой