Вопрос: Active Directory: удалить или отключить отправленных сотрудников [закрыто]


Когда сотрудник покидает вашу организацию, вы удаляете или отключите свою учетную запись Active Directory? Наш SOP должен отключить, экспортировать / очистить почтовый ящик Exchange, а затем по истечении «определенного времени» (обычно ежеквартально) удалите учетную запись.

Есть ли необходимость в этой задержке? После экспорта и очистки своего почтового ящика, почему я не должен удалить учетную запись сразу и там?


30
2017-09-10 15:18


Источник




Ответы:


Когда они уходят, они обычно не возвращаются. Я не вижу причин висеть на старых счетах. Вот что мы делаем:

файлы:

  • Пройдите через их рабочий стол (обычно мои документы и рабочий стол) и архивируйте их старые данные в архивный файловый сервер (всего несколько 1 тб дисков в RAID-5)
  • Создайте резервную копию своей / пользовательской папки на обычном файловом сервере и в архив.

Сообщения электронной почты: 

  • Создайте резервную копию всех своих электронных писем (либо в pst или просто сохранить свой почтовый ящик, в зависимости от ОС) и поставить его в безопасное место. Иногда менеджеры нуждаются доступ к почтовым ящикам ex-employees для получение определенных писем.
  • При необходимости мы настроим электронное письмо на менеджера или коллеги больше не приходит почта.

16
2017-09-10 15:26



Мне нравится передняя вещь - Matt Rogish
-1 Re: «Я не вижу причин висеть на старых учетных записях». Хорошая причина дается Дэвидом Макинтошем ... - Dscoduc
Также не забудьте скрыть свое имя из обменной адресной книги - benPearce


Мы отключили учетные записи. Их «описания» обновляются, чтобы указать дату отправления, и они перемещаются в иерархии AD в папку в зависимости от того, в каком состоянии отправления они находятся (отправлено + письмо, переадресованное где-то, прошло + предварительный архив, архивировано).

У нас есть большое количество сложных файлов и иерархий папок. Если вы удалите учетную запись из Active Directory, а файл / папка с явными ACL для каждого пользователя будут иметь данные ACL, отображаемые как SID. И я не нашел способа определить из SID, в котором он был раньше, потому что учетная запись была удалена.

Таким образом, когда люди ищут проблемы с правами собственности / разрешения, которые ведут себя странно, мы можем видеть (и удалять) владельцы и разрешения людей, которые больше не присутствуют.

Обновление, намного позже: Я узнал от коллеги, который проходит аудит от Microsoft, что учетные записи в вашем AD требуют лицензии на «место» (если вы так раскачиваетесь), независимо от того, являются ли они реальным лицом или нет ли человек по-прежнему настоящее время. Поэтому есть аргумент, который нужно сделать для удаления!


33
2017-09-10 16:19



Хорошая точка с SID в явных списках ACL - Matt Rogish
Мой менеджер также использует этот аргумент. Честно говоря, я не сторонник просто отключить учетные записи и скорее удалю их. Лучшая практика предполагает, что вы не должны явно разрешать пользователей в списках ACL и если SID просто отображается, почему бы не удалить его? - fenster
Потому что «Лучшая практика» не всегда происходит в реальном мире, особенно если у вас есть пользователи, которые возится с разрешениями сами. Если оставить имя пользователя там, вы можете найти ответственного человека и (иметь их) решить, что должно произойти сейчас, когда ушедший ... erm ... ушел. - David Mackintosh
Отключенным счетам требуется cal? Это не кажется правильным. Я понимаю, что включены учетные записи, но на самом деле? - Jason Berg
Помогла ли MS дать какие-либо сведения о том, почему это так? Я всегда слышал, что каждый пользователь был на человека, а не на учетную запись пользователя. - David


Здесь, на моем месте Высшего Эд, мы отключили и сохранили за 2 недели политику.

  • Когда их учетная запись попадает в Banner как «неактивна», пакетная обработка следующей ночью приведет к отключению процесса «Отключить».
    • Их учетные записи Novell отключены и введено ограничение времени входа в систему.
    • Их учетные записи AD отключены и введено ограничение времени входа в систему.
    • Их учетные записи Exchange установлены с Ограничением доставки для себя, заставляя всю почту для этой учетной записи отказываться (новые с Exchange 2007, отключенные учетные записи все равно могут получать почту).
  • Проходят две недели, в течение которых менеджеры могут бросать флаги хранения данных. В течение этого интервала мы имеем дело со специальными снежинками.
  • В конце двух недель очищаются учетные записи, пользовательские каталоги и почтовые ящики.

Менеджеры, запрашивающие доступ к данным каталога пользователя, получают CD, а не прямой доступ. FAR слишком часто в прошлом говорили, что менеджеры просто используют пользовательский каталог в качестве еще одного хранилища файлов.

Менеджеры, запрашивающие доступ к электронным письмам, получают экспорт PST почтового ящика, а не прямой доступ.

Менеджеры жалуются, что сказал, что 20-летний ветеран отдела был единственной точкой контакта для определенной критической функции, и поэтому им нужно сохранить имя вокруг, так что критические письма не будут отскакивать, схватить их. Мы пытаемся установить правило Out Of Office в отключенном почтовом ящике, в котором указывается, что человек ушел, и, пожалуйста, свяжитесь с Person B. Затем мы установили дату жесткого удаления для этой учетной записи в будущем, чтобы убедиться, что мир знает, что Person A больше не существует. Мы не помещаем этот адрес электронной почты в другой почтовый ящик, если можем вообще помочь. Мы не всегда успешны.

Иногда этот 20-летний ветеран был главным секретарем поддержки области, и поэтому был делегатом почти всех с календарем, который нуждается в управлении. Как только такая учетная запись отключится, любой, кто отправит встречу в управляемые календари, получит необычные сообщения о отказе. Временное повторное включение учетной записи останавливает сообщения об отказе, когда персонал рабочего стола проходит, и вручную удаляет делегатов со всех почтовых ящиков. Это может занять пару дней, чтобы сотрудники рабочего стола договорились с владельцами указанных календарей, чтобы войти и внести необходимые настройки. Затем учетная запись повторно отключается и будет подвергаться обычному 2-недельному удалению. Это одна «особенность» Exchange, которую мне особенно не нравится.


10
2017-09-10 18:05





Я не поклонник немедленного удаления учетной записи AD после того, как сотрудник или подрядчик покидают компанию. Я обнаружил, что лучше отключить не менее 30 дней, а затем удалять отключенные учетные записи 1-2 раза в год.

Существует несколько причин, по которым вы не хотите немедленно удалять учетную запись:

1- Судебная экспертиза. Если у вашей организации есть необходимость в судебном преследовании в отношении сотрудника или подрядчика, вам понадобится исходная учетная запись (SID).

2- Автоматизированные задачи. Пользователи, особенно ИТ-специалисты, склонны настраивать автоматические задачи, чтобы делать такие мысли, как запускать задания, автоматизировать отчеты, перерабатывать службы и т. Д. Вы будете привязаны, если вы удалите учетную запись пользователя, прежде чем вы поняли, что существуют сложные заданий или задач, привязанных к идентификаторам. Вы не можете просто воссоздать учетную запись с тем же именем, потому что SID не будет одинаковым, и это то, на что автоматизированные задачи смотрят не на видимое имя учетной записи.

Если вы сначала отключите, вы всегда можете повторно активировать учетную запись, изменить или восстановить пароль и вернуться в бизнес до тех пор, пока вы не перейдете к законной учетной записи службы.


6
2017-11-16 18:23





У нас довольно строгие требования к аудиту, и их часто просят доказать, что пользователь отключен и когда. Чтобы справиться с этим, мы склонны отключать учетную запись, когда нам говорят, что они ушли. Переместите отключенные учетные записи в свое подразделение и обновите описание с датой, которую они оставили (это также полезно для того, чтобы позволить нам отключать людей, которые исчезают в течение длительного периода времени и повторно активируют их, когда они возвращаются).

Как только они ушли на 6 месяцев, мы удалим их.


3
2017-09-10 16:31



Не может ли эта дата быть «проклята» или AD, внутри, хранить неактивную дату, которая не легко редактируется админами? Я думаю, вы могли бы посмотреть последнюю измененную дату, но если вы когда-нибудь прикоснетесь к ней, вы потеряете эту историю - Matt Rogish
Его можно было легко изменить, к счастью, он еще не появился :-) Если он когда-либо запрашивается, всегда есть последний измененный атрибут объекта пользователя, который должен иметь ту же дату, что и дата в поле описания, когда учетная запись была отключена , - Mike1980
Конечно, нет ничего, что помешало бы администратору изменить дату на DC, изменить учетную запись и изменить дату назад ... Судебная экспертиза в наши дни очень жесткая. - Chris S


Если они ушли более 3 месяцев, я удаляю их учетные записи. Все наши системы имеют GPO принудительное перенаправление рабочего стола и папок для My Documents / Desktop и т. Д., Поэтому после удаления я архивирую их на свой тома архива на файловом сервере.

Я педантичен в отношении использования групп безопасности на основе роли в A / D для всего, поэтому нет пользователей, у которых есть разрешения на файловую систему или что-то еще неявное применение, так что никто не удаляет пользователя. Настройка этого требует немного размышлений и царапин на голове - но я действительно рекомендую это сделать, так как он делает разрешения на управление в сети Windows cinch.

Что касается обмена, я экспортирую почтовый ящик с ExMerge и поместите PST с архивированной папкой, а затем настрою пересылать или отказывать сообщения в зависимости от роли человека, который ушел.


3
2017-09-11 05:38





В университете, в котором я учился и работал, была следующая:

Студенты

  • при выходе
    • Отключить учетную запись
    • 30 дней спустя, удалите, если не заново зарегистрирован
  • градация + 90 дней
    • Отключить учетную запись
    • создать адрес переадресации «квасцов»
    • удалить через 30 дней

Персонал / факультет

  • после ухода
    • Отключить учетную запись
    • удалить через 30 дней

2
2017-09-25 10:18





С удалением учетных записей компьютеров может возникнуть очень большая проблема: закон.

В ЕС Директива по защите данных некоторые страны-участницы (в частности, Польша) требуют никогда не назначать один и тот же идентификатор пользователя никому другому и в то же время сохранять журнал того, кому и когда был предоставлен доступ, и когда был отменен доступ.

Короче говоря: если вы имеете дело с личными данными, лучше спросите адвоката / юристов.


2
2017-10-07 00:07



Кто-нибудь имеет источник для польского требования? Я не могу найти это требование ни в директиве ЕС, ни в законодательстве, реализующем директиву ни для Польши, ни для Великобритании. - Adam Thompson
@AdamThompson: к сожалению, я не мог найти его на английском, но здесь он по-польски: giodo.gov.pl/144/id_art/1002/j/pl (Dz. U. z 2004 r. Nr 100, poz. 1024), вы можете найти его в Приложении A, § IV, пункт 1: «Идентификация, google translate делает приличную работу. - Hubert Kario
Коррекция, я нашел их здесь: giodo.gov.pl/409/id_art/209/j/en - Hubert Kario
Большое спасибо, Юбер. Мое прочтение этого предполагает, что вы не можете повторно использовать одну и ту же учетную запись, но создание новой учетной записи с тем же именем будет в порядке. Старая учетная запись «adam@example.com» будет удалена, и, возможно, позже будет создана новая учетная запись «adam@example.com», но она будет иметь другой идентификатор SID или UID и поэтому будет другим «Identyfikator», / Я БЫ. Возможно, адвокатам нужно спорить, но как это будет работать в случае гражданской (в противовес обычной) правовой системе, я не уверен. - Adam Thompson
@AdamThompson: Я совершенно уверен, что это неправильное чтение. См. II.2. «b) доступ к данным возможен только после ввода идентификатора и аутентификации пользователя». Вы не вводите SID / UID, вы вводите пользовательское имя пользователя, поэтому у вас не может быть двух пользователей с «adam@example.com». Теперь, если вы можете создать несколько учетных записей с общим SID / UID ..., которые я не знаю, но, вероятно, также не допускается. - Hubert Kario


У нас есть люди, которые обычно уходят, а затем возвращаются куда угодно от недели до шести месяцев. Когда мы отключим учетные записи, у нас возникла проблема, что я не могу вспомнить природу сейчас ... возможно, по электронной почте? Некоторые другие предупреждения? Вместо этого мы изменили нашу процедуру, чтобы пароль был сбрасываем на что-то похожее на тарабарщину, и в поле описания помещается примечание, в котором подробно описывается ситуация, чтобы кто-либо другой, редактируя свою пользовательскую информацию, знал бы это для справки.

В конечном счете, счет будет выпущен независимо от того, как только они должны были закончиться.

Удаление учетной записи тогда и там ... Я бы сказал, что это вопрос политики, но удержание также имеет преимущество «играть в нее безопасно», если есть ошибка или смена ситуации. Или есть разветвление, чтобы просто удалить данные, и вдруг кому-то нужен доступ к определенным файлам или информации или почте и т. Д. ... но это можно использовать другими способами, если у вас есть политики для восстановления старой информации и еще чего-то. Для нас просто легче сохранить часть учетной записи на некоторое время, пока не будет установлено, что она больше не понадобится, уменьшит некоторые усилия и головную боль позже.


1
2017-09-10 15:29





Если вы скопировали все свои данные, я не вижу причины сохранять активную учетную запись каталога. Однако Я бы сохранил свою учетную запись электронной почты активным и пересылал по электронной почте кому-то еще, если клиент связывается с ними или с другим партнером.


1
2017-09-10 15:28