it-swarm.asia

Active Directory: ayrılan çalışanları silme veya devre dışı bırakma

Bir çalışan kuruluşunuzdan ayrıldığında, Active Directory hesaplarını siliyor veya devre dışı bırakıyor musunuz? SOP) Exchange posta kutusunu devre dışı bırakmak, dışa aktarmak/temizlemek ve ardından "bir süre" geçtikten sonra (genellikle üç ayda bir) hesabı silin.

Bu gecikmeye ihtiyaç var mı? Posta kutularını dışa aktardıktan ve temizledikten sonra, hesabı hemen oradan neden silmemeliyim?

32
Matt Rogish

Bıraktıktan sonra, genellikle geri dönmezler. Eski hesaplara dayanmak için hiçbir neden göremiyorum. İşte yaptıklarımız:

Dosyalar:

  • Masaüstlerini (genellikle Belgelerim ve Masaüstüm) gözden geçirin ve eski verilerini arşiv dosya sunucusuna arşivleyin (RAID-5'te yalnızca birkaç 1 tb sürücü)
  • Normal dosya sunucusundaki/user klasörünü de arşiv klasörüne yedekleyin.

E-postalar:

  • Tüm e-postalarını yedekleyin (işletim sistemine bağlı olarak pst olarak veya posta kutularını kaydedin) ve güvenli bir yere koyun. Bazen yöneticilerin belirli e-postaları almak için eski çalışan posta kutularına erişmeleri gerekebilir.
  • Gerekirse, başka posta gelmeyene kadar bir yöneticiye veya iş arkadaşlarına bir e-posta gönderdik.
17
dubRun

Hesapları devre dışı bırakıyoruz. Onların "açıklamaları" kalkış tarihini belirtmek için güncellenir ve AD hiyerarşisinde hangi kalkış durumunda olduklarına bağlı olarak bir klasöre taşınırlar (bir yere yönlendirilen e-posta, gitti + ön arşiv, arşivlendi).

Çok sayıda karmaşık dosya ve klasör hiyerarşisi var. Hesabı Active Directory'den silerseniz ve kullanıcı başına açık ACL'leri olan dosya/klasörde bu ACL verileri SID olarak görüntülenir. Ve bir SID'den hangi hesabın olduğunu anlamak için herhangi bir yol bulamadım - çünkü hesap silindi.

Bu şekilde, insanlar garip davranan sahiplik/izin konularına bakarken, artık mevcut olmayan kişilerin sahipliklerini ve izinlerini görebilir (ve silebiliriz).

Güncelleme, çok sonra: Microsoft'tan denetimden geçen bir iş arkadaşınızdan, AD'nizdeki hesapların (bu şekilde sallanıyorsanız) bir "koltuk başına" lisansı gerektirdiğini öğrendim gerçek bir kişidir ve o kişinin hala mevcut olup olmadığı. Yani silinmek için bir argüman var!

35
David Mackintosh

Burada Yükseköğretim yerimde, 2 haftalık bir devre dışı bırakma ve tutma politikamız var.

  • Hesapları Banner'da 'etkin değil' olarak listelendiğinde, bir sonraki gecenin toplu işlemesi Devre Dışı Bırakma işlemini başlatır.
    • Novell hesapları devre dışı bırakıldı ve giriş zamanı kısıtlaması getirildi.
    • AD hesapları devre dışı bırakıldı VE giriş zamanı kısıtlaması getirildi.
    • Exchange hesapları kendilerine Teslim Kısıtlaması ile ayarlanır ve bu hesaba gelen tüm postaları geri dönmeye zorlar (Exchange 2007'de yeni, devre dışı bırakılmış hesaplar yine de posta alabilir).
  • İki hafta geçer, bu süre zarfında yöneticiler veri tutma bayrakları atabilir. Bu aralıkta özel kar taneleri ile ilgileniyoruz.
  • İki haftanın sonunda hesaplar, kullanıcı dizinleri ve posta kutuları temizlenir.

Kullanıcı dizini verilerine erişim isteyen yöneticilere doğrudan erişim değil CD verilir. Geçmişte FAR çok sık yöneticilerin sadece kullanıcı dizinini başka bir dosya deposu olarak kullandığını söyledi.

E-postalara erişim isteyen yöneticilere doğrudan erişim yerine posta kutusunun PST dışa aktarımı verilir.

Yöneticiler, bölümün 20 yıllık gazisinin belirli bir kritik işlev için tek temas noktası olduğunu ve bu nedenle kritik postaların zıplamaması, ellerini tutmaması için adı tutmaları gerektiğinden şikayet ediyorlar. Devre dışı bırakılan posta kutusuna, kişinin ayrıldığını belirten bir İşyeri Dışı kuralı koymaya çalışıyoruz ve lütfen bunun yerine Kişi B ile iletişime geçin. Daha sonra, dünyanın A Kişisinin artık burada olmadığını bildiğinden emin olmak için gelecekte çok uygun bir tarihte sert bir silme tarihi belirledik. Eğer yardım edebilirsek, bu e-posta adresini başka bir posta kutusuna koymayız. Her zaman başarılı değiliz.

Bazen bu 20 yıllık gazi bir bölge için başbakan desteğiydi ve bu nedenle yönetilmesi gereken bir takvimi olan hemen hemen herkesin bir Temsilcisi idi. Böyle bir hesap devre dışı bırakıldığında, yönetilen takvimlere randevu gönderen herkes olağandışı geri dönen iletiler alır. Hesabın geçici olarak yeniden etkinleştirilmesi, masaüstü personeli geçerken geri dönen iletileri durdurur ve Temsilcileri tüm posta kutularından el ile kaldırır. Bu, masaüstü personelinin söz konusu takvimlerin sahipleriyle girip gerekli ayarları yapması için pazarlık yapması birkaç gün sürebilir. Ardından hesap yeniden devre dışı bırakılır ve normal 2 haftalık silme işlemine tabi tutulur. Bu, Exchange'in özellikle sevmediğim bir 'özelliği'.

11
sysadmin1138

Bir çalışan veya yüklenici şirketten ayrıldıktan sonra hemen bir AD hesabını silmenin hayranı değilim. En az 30 gün boyunca devre dışı bırakmanın ve ardından devre dışı bırakılan hesapları yılda 1-2 kez silmenin en iyisi olduğunu gördüm.

Bir hesabı hemen silmek istememenizin birkaç nedeni vardır:

1- Adli tıp. Kuruluşunuzun bir çalışan veya yükleniciye karşı yasal yollara başvurması gerekiyorsa, orijinal hesaba (SID) ihtiyacınız olacaktır.

2- Otomatik Görevler- Kullanıcılar, özellikle de BT çalışanları, işleri yönetme, raporları otomatikleştirme, geri dönüşüm hizmetleri vb. Gibi düşünmeler yapmak için otomatik görevler ayarlama eğilimindedir. kimliklere bağlı işler veya görevler. SID aynı olmayacağı ve otomatik görevlerin hesabın görünür adına bakmadığı için hesabı aynı adla yeniden oluşturamazsınız.

Öncelikle devre dışı bırakırsanız, işi yasal bir hizmet hesabına geçirinceye kadar hesabı her zaman yeniden etkinleştirebilir, şifreyi değiştirebilir veya kurtarabilirsiniz.

7
John

3 aydan daha uzun bir süre gitmişlerse hesaplarını siliyorum. Tüm sistemlerimizde GPO Belgelerim/Masaüstü vb. İçin masaüstü ve klasör yönlendirmesi zorunludur, bu yüzden sildikten sonra bunları dosya sunucusundaki arşiv birimime arşivlerim.

Her şey için A/D'de rol tabanlı güvenlik gruplarını kullanma konusunda bilgiçim, bu yüzden dosya sistemine izinleri olan veya örtük bir şekilde uygulanan başka bir şey yok, bu nedenle bir kullanıcı siliniyor. Bunu ayarlamak biraz düşünce ve kafa çizmeyi gerektirir - ancak bir Windows Ağı üzerindeki izinleri yönetmeyi bir cinch haline getirdiğinden, bunu gerçekten tavsiye ederim.

Değişim gelince, posta kutusunu ExMerge ile dışa aktarıyorum ve .pst dosyasını arşivlenen klasöre koydum, sonra kalan kişinin rolüne bağlı olarak iletimleri iletme veya geri dönme ayarını yapıyorum.

4
ColtonCat

Oldukça katı denetim gereksinimlerimiz var ve genellikle bir kullanıcının ne zaman ve ne zaman devre dışı bırakıldığını kanıtlamamız istenir. Bununla başa çıkmak için, bize ayrıldıkları söylendiğinde hesabı devre dışı bırakma eğilimindeyiz. Devre dışı bırakılan hesapları kendi OU'suna taşıyın ve açıklamayı kaldıkları tarihle güncelleyin (uzun süre kaybolan kişileri devre dışı bırakmamıza ve geri döndüklerinde yeniden etkinleştirmemize izin vermek için de kullanışlı olur).

6 aydır gittikten sonra onları siliyoruz.

4
Mike1980

Katıldığım ve çalıştığım üniversitedeki politika şöyledir:

Öğrenciler

  • çekildikten sonra
    • hesabı devre dışı bırak
    • 30 gün sonra tekrar kaydolmazsanız silin
  • mezuniyet + 90 gün
    • hesabı devre dışı bırak
    • "şap" yönlendirme adresi yarat
    • 30 gün sonra sil

Personel/Fakülte

  • ayrıldıktan sonra
    • hesabı devre dışı bırak
    • 30 gün sonra sil
3
warren

Bilgisayar hesaplarının silinmesinde çok büyük bir sorun olabilir: hukuk.

AB Veri Koruma Direktifi altında bazı üye devletler (özellikle Polonya) asla aynı kullanıcı kimliğini başkasına atamamayı ve aynı zamanda kimin ve ne zaman ve ne zaman erişim izni verildiğinin kaydını tutmalıdır. erişim iptal edildi.

Kısacası: kişisel verilerle ilgileniyorsanız, bir avukata/hukuk ekibine sorun.

3
Hubert Kario

Fortune 500 enerji hizmeti için uzaktan destek (Yükseltilmiş HelpDesk) teknisyeni olarak çalışıyorum. İşimizin doğası gereği, yukarıda açıklandığı gibi 20 yıllık tecrübeye kadar gelen müteahhitlerden her türlü senaryoya sahibiz. Gördüğüm kadarıyla politikamız kesildi ve kuru.

Tüm hesaplar açıklama alanındaki son bilet numarası, tarih ve değişiklik türüne sahiptir. Örneğin. Change Order 123456 Created on 00/00/00 by the access managerTerminated on 00/00/00 veya Re-enabled on 00/00/00 by Manager's Name

Bir tutarsızlık bildirildikten hemen sonra HelpDesk hesabı devre dışı bırakır. Onaylandıktan sonra veya belirli bir süre sonra kullanıcı devre dışı bırakılmış hesaplar kuruluş birimine otomatik olarak eklenir ve üç tild ve reklam sonlandırma tarihi (~~~00/00/00) hem BT hem de son kullanıcıların bir bakışta kullanıcının şirkete yalnız gelmediğini hızlı bir şekilde tanımlamasını sağlamak için görünen adı seçin.

Verilere ne olduğu hakkında bilgi veremiyorum. O bölümde çalışmıyorum. Ama bir güveden sonra hesabın tamamen gittiğini biliyorum.

Bu veri ve saklama kavramları, kuruluşu hâlâ hoşnutsuz bir çalışandan korurken, herhangi bir kuruluşun BT politikalarının bir parçası olmalıdır. Ancak her adım arasındaki süre şirkete göre değişir.

Özellikle mesajlaşma sorunlarını giderirken masaüstünde bize gerçekten yardımcı oluyor.

Bu yardımcı olur umarım

2
kokan90

Tüm verilerini yedeklediyseniz, Active Directory hesabını saklamak için herhangi bir neden göremiyorum. Ancak E-posta hesaplarını etkin tutar ve bir müşterinin kendisiyle veya başka bir iş ortağıyla iletişim kurması durumunda e-postalarını başka birine iletirim.

2
Highstead

Tam zamanlı çalışan olduğum iki danışmanlık müşterim var. Personel numaram ve her şey aynı ve eminim ki AD hesaplarını asla silmiyorlar - sadece onları devre dışı bırakıyorlar - geri döndüğümde beni eski haline getirdiler.

Gördüğüm tek sorun, SID'ime bağlı tüm grup üyeliklerimin ve erişimlerimin (yalnızca AD grup üyelikleri, sanırım) hala orada olması, bu yüzden daha düşük bir kapasitede geri dönmem gerekirse, bu üyelikleri gözden geçirmek kritik bir adım olmak.

Ardından, silmeniz ve yeniden oluşturmanızdan veya devre dışı bırakıp etkinleştirmemenizden bağımsız olarak, samaccountname aynı kalırsa, bu kullanıcı hesabına başvuran TÜM diğer sistemlerin silinmesi gerekir.

2
Jason Kleban

Bir haftadan altı ay sonra rutin olarak geri çekilen ve geri dönen insanlarımız var. Hesapları devre dışı bıraktığımızda, şu anın doğasını hatırlayamadığım bir sorun yaşadık ... muhtemelen e-posta ile ilgili? Başka uyarı var mı? Bunun yerine prosedürümüzü değiştirdik, böylece şifre anlamsız bir şeye sıfırlanır ve açıklama ayrıntısına durumu ayrıntılı bir şekilde yerleştirilir, böylece kullanıcı bilgilerini düzenleyen herkes referans için bunu bilir.

Hesap ne zaman mezun olacakları önemli değil.

O zaman ve orada hesabı silme ... Bunun bir politika meselesi olduğunu söyleyebilirim, ancak bir hata veya durum değişikliği olması durumunda uzak durmanın da "güvenli oynamak" avantajı vardır. Ya da sadece verileri silmenin bir sonucu vardır ve birisinin belirli dosyalara veya bilgilere veya postalara vb. Bizim için, artık gerekli olmayacak, daha sonra biraz çaba ve baş ağrısını azaltacak şekilde karar verene kadar hesabın bir kısmını bir süre daha tutmak daha kolaydır.

1
Bart Silverstrim