Когда сотрудник покидает вашу организацию, вы удаляете или отключаете его учетную запись Active Directory? Наша СОП состоит в том, чтобы отключить, экспортировать / очистить почтовый ящик Exchange, а затем по истечении «некоторого времени» (обычно ежеквартально) удалить учетную запись.
Есть ли необходимость в этой задержке? После экспорта и очистки их почтового ящика, почему я не должен удалить учетную запись прямо там и сейчас?
active-directory
best-practices
Мэтт Рогиш
источник
источник
Мы отключаем учетные записи. Их «описания» обновляются, чтобы указать дату отправления, и они перемещаются в иерархии AD в папку в зависимости от того, в каком состоянии отправления они находятся (отправлено + электронная почта куда-то переадресовано, отправлено + предварительное архивирование, архивировано).
У нас есть огромное количество сложных файлов и иерархий папок. Если вы удаляете учетную запись из Active Directory, а файл / папка с явными списками ACL для каждого пользователя будут иметь эти данные ACL в виде SID. И я не нашел способа узнать из SID, какой учетной записью он был раньше - потому что учетная запись была удалена.
Таким образом, когда люди смотрят на проблемы с правами собственности / разрешениями, которые ведут себя странно, мы можем видеть (и удалять) права собственности и разрешения людей, которых больше нет.
Обновление, намного позже: я узнал от коллеги, который проходит проверку от Microsoft, что учетные записи в вашей AD требуют лицензии «на место» (если вы качаетесь таким образом), являются ли они реальным человеком и или не человек все еще присутствует. Таким образом, есть аргумент для удаления!
источник
Здесь, в моем доме Высшего Эда, у нас есть политика отключения и сохранения в течение 2 недель.
Менеджеры, запрашивающие доступ к данным каталога пользователя, получают CD, а не прямой доступ. FAR слишком часто в прошлом говорил, что менеджеры просто используют каталог пользователя как еще одно хранилище файлов.
Менеджеры, запрашивающие доступ к электронной почте, получают PST-экспорт почтового ящика, а не прямой доступ.
Менеджеры жалуются на то, что 20-летний ветеран отдела был единственным контактным лицом для выполнения определенной важной функции, и поэтому им нужно держать имя рядом, чтобы критические письма не отскочили, а руки держали. Мы пытаемся поместить правило «Нет на работе» в отключенный почтовый ящик, в котором говорится, что человек ушел, и, пожалуйста, свяжитесь с ним. Затем мы установили жесткую дату удаления для этой учетной записи, соответственно, в будущем, чтобы удостовериться, что мир знает, что Человека А больше нет здесь. Мы НЕ помещаем этот адрес электронной почты в другой почтовый ящик, если можем вообще помочь. Мы не всегда успешны.
Иногда этот 20-летний ветеран был главным секретарем поддержки области, и, следовательно, был делегатом почти каждого с календарем, который нуждается в управлении. Как только такая учетная запись будет отключена, любой, отправляющий встречу в управляемые календари, получит необычные сообщения об отказах. Временное повторное включение учетной записи останавливает рикошетные сообщения, в то время как сотрудники рабочего стола проходят и вручную удаляют делегатов из всех почтовых ящиков. Персоналу настольных компьютеров может потребоваться несколько дней, чтобы договориться с владельцами указанных календарей, чтобы войти в систему и выполнить необходимые настройки. После этого учетная запись будет снова отключена и будет подлежать обычному двухнедельному удалению. Это одна из «особенностей» Exchange, которая мне особенно не нравится.
источник
Я не фанат немедленного удаления учетной записи AD после того, как сотрудник или подрядчик покинет компанию. Я обнаружил, что лучше отключать не менее 30 дней, а затем удалять отключенные учетные записи 1-2 раза в год.
Есть несколько причин, по которым вы не хотите немедленно удалять аккаунт:
1- Криминалистика. Если вашей организации необходимо подать в суд на сотрудника или подрядчика, вам понадобится исходный аккаунт (SID).
2- Автоматизированные задачи. Пользователи, особенно ИТ-специалисты, склонны настраивать автоматизированные задачи для выполнения таких задач, как запуск заданий, автоматизация отчетов, перезапуск сервисов и т. Д. Вы будете в затруднении, если вы удалите учетную запись пользователя до того, как обнаружите сложные рабочие места или задачи, связанные с идентификаторами. Вы не можете просто воссоздать учетную запись с тем же именем, потому что SID не будет таким же, и это то, что автоматические задачи смотрят на не видимое имя учетной записи.
Если вы отключите сначала, вы всегда сможете снова включить учетную запись, изменить или восстановить пароль, и вы вернетесь к работе, пока не получите работу, переведенную на действительную служебную учетную запись.
источник
У нас довольно строгие требования к аудиту, и нас часто просят доказать, что пользователь был отключен и когда. Чтобы справиться с этим, мы склонны отключать учетную запись, когда нам говорят, что они ушли. Переместите отключенные учетные записи в их собственное подразделение и обновите описание, указав дату, которую они оставили (это также удобно для того, чтобы позволить нам отключать людей, которые исчезают на длительный период времени, и повторно включать их, когда они возвращаются).
Как только они ушли на 6 месяцев, мы их удаляем.
источник
Если они пропали более 3 месяцев, я удаляю их аккаунты. Все наши системы имеют принудительное перенаправление рабочего стола и папок с помощью GPO для «Мои документы / Рабочий стол» и т. Д., Поэтому после удаления я заархивирую их на свой архивный том на файловом сервере.
Я педантичен в отношении использования групп безопасности на основе ролей в A / D для всего, поэтому нет пользователей, у которых есть разрешения на файловую систему или что-то еще, неявно примененное, так что нет ничего важного в удалении пользователя. Настройка этого требует немного обдумывания и головокружения - но я действительно рекомендую это сделать, так как управление разрешениями в сети Windows становится легким делом.
Что касается обмена, я экспортирую почтовый ящик с помощью ExMerge и помещаю PST в заархивированную папку, затем настраиваю пересылку или отскок сообщений в зависимости от роли оставившего человека.
источник
Политика в университете, в котором я учился и работал, заключается в следующем:
Студенты
Персонал / факультет
источник
При удалении учетных записей компьютеров может возникнуть очень большая проблема: закон.
В соответствии с Директивой ЕС о защите данных некоторые государства-члены (в частности, Польша) требуют никогда не присваивать один и тот же идентификатор пользователя кому-либо еще и в то же время вести журнал того, кому и когда был предоставлен доступ и когда доступ был аннулирован.
Короче говоря: если вы имеете дело с личными данными, лучше спросите юриста / юридическую команду.
источник
Если вы создали резервные копии всех их данных, я не вижу причин сохранять активную учетную запись каталога. Однако я хотел бы сохранить их учетную запись электронной почты активной и пересылать их по электронной почте кому-то еще, если клиент связывается с ними или другим партнером.
источник
У меня есть два клиента-консультанта, из которых я работал на полную ставку. Мой личный номер и все одинаковые, и я уверен, что они никогда не удаляют учетные записи AD - они просто отключают их - когда я вернулся, они просто восстановили меня.
Единственная проблема, которую я вижу, состоит в том, что все мои членства в группах и доступы, которые связаны с моим SID (я думаю, что только членство в группах AD), все еще существуют, поэтому, если я должен был вернуться в ограниченном качестве, проверка этих членств быть критическим шагом.
Затем, независимо от того, удаляете ли вы и воссоздаете ли вы или отключаете и включаете, если имя samaccount остается прежним, ВСЕ другие системы, которые ссылаются на эту учетную запись пользователя, должны быть удалены.
источник
Я работаю специалистом по удаленной поддержке (Elevated HelpDesk) для энергетической компании Fortune 500. Учитывая характер нашего бизнеса, у нас есть все типы сценариев, начиная от подрядчиков, которые приходят и уходят к 20-летнему ветерану, как описано выше. Из того, что я видел, наша политика полностью исключена.
Все учетные записи имеют номер последнего билета, дату и тип изменения в поле описания. Например,
Change Order 123456 Created on 00/00/00 by the access manager
Terminated on 00/00/00
илиRe-enabled on 00/00/00 by Manager's Name
Сразу же после уведомления о несоответствии HelpDesk отключает учетную запись. После подтверждения или автоматически по истечении заданного времени пользователь
~~~00/00/00
выводит в OU отключенных учетных записей три объявления тильды и дату завершения ( ) на отображаемое имя, чтобы как ИТ-специалисты, так и конечные пользователи могли быстро идентифицировать пользователя, что он не одинок в компании. ,Я не могу предоставить информацию о том, что происходит с данными. Я не работаю в этом отделе. Но я знаю, что примерно через месяц мотылек полностью исчез.
Эти концепции данных и хранения, хотя и защищают организацию от недовольного сотрудника, должны быть частью ИТ-политик любой организации. Но время между каждым шагом будет зависеть от компании.
Это действительно помогает нам в настольных ПК, особенно при устранении неполадок с сообщениями.
Надеюсь это поможет
источник
У нас есть люди, которые обычно уходят, а затем возвращаются где-то от недели до шести месяцев спустя. Когда мы отключали учетные записи, у нас возникали некоторые проблемы, которые я не могу вспомнить сейчас ... возможно, связанные с электронной почтой? Другое предупреждение? Вместо этого мы изменили нашу процедуру, чтобы пароль сбрасывался на что-то похожее на тарабарщину, и в поле описания помещалась заметка, подробно описывающая ситуацию, чтобы любой, кто редактирует свою пользовательскую информацию, знал ее для справки.
Счет в конечном итоге выкатывается независимо от того, что когда-то они должны были закончить.
Удаление учетной записи тут же и там ... Я бы сказал, что это вопрос политики, но удержание также имеет преимущество в том, чтобы "играть безопасно" в случае ошибки или изменения ситуации. Или есть простое удаление данных, и вдруг кому-то понадобится доступ к определенным файлам, информации, почте и т. Д., Но это можно сделать другими способами, если у вас есть политика для восстановления старой информации и тому подобное. Для нас просто проще хранить части учетной записи некоторое время, пока не будет решено, что она больше не понадобится, это уменьшит некоторые усилия и головную боль в дальнейшем.
источник