Active Directory: удалить или отключить ушедших сотрудников [закрыто]

32

Когда сотрудник покидает вашу организацию, вы удаляете или отключаете его учетную запись Active Directory? Наша СОП состоит в том, чтобы отключить, экспортировать / очистить почтовый ящик Exchange, а затем по истечении «некоторого времени» (обычно ежеквартально) удалить учетную запись.

Есть ли необходимость в этой задержке? После экспорта и очистки их почтового ящика, почему я не должен удалить учетную запись прямо там и сейчас?

active-directory  best-practices 
Мэтт Рогиш
источник

Ответы:

17

Как только они уходят, они обычно не возвращаются. Не вижу смысла вешать на старые аккаунты. Вот что мы делаем:

файлы:

  • Просмотрите их рабочий стол (обычно «Мои документы» и «Рабочий стол») и заархивируйте их старые данные на архивный файловый сервер (всего несколько дисков емкостью 1 ТБ в RAID-5).
  • Создайте резервную копию их / user-папки на обычном файловом сервере, а также на архивном.

Сообщения электронной почты:

  • Сделайте резервную копию всех их электронных писем (либо в pst, либо просто сохраните их почтовый ящик, в зависимости от ОС) и поместите их в безопасное место. Иногда менеджерам необходим доступ к почтовым ящикам бывших сотрудников для получения определенных писем.
  • При необходимости мы настраиваем пересылку электронной почты на учетную запись менеджера или коллег до тех пор, пока не перестанет поступать почта.
dubRun
источник
2
Мне нравится вещь вперед
Мэтт Рогиш
-1 Re: «Я не вижу смысла ввязываться в старые аккаунты» Дэвид Макинтош
дает совершенно вескую причину
2
Также не забудьте спрятать свое имя в адресной книге биржи
benPearce,
35

Мы отключаем учетные записи. Их «описания» обновляются, чтобы указать дату отправления, и они перемещаются в иерархии AD в папку в зависимости от того, в каком состоянии отправления они находятся (отправлено + электронная почта куда-то переадресовано, отправлено + предварительное архивирование, архивировано).

У нас есть огромное количество сложных файлов и иерархий папок. Если вы удаляете учетную запись из Active Directory, а файл / папка с явными списками ACL для каждого пользователя будут иметь эти данные ACL в виде SID. И я не нашел способа узнать из SID, какой учетной записью он был раньше - потому что учетная запись была удалена.

Таким образом, когда люди смотрят на проблемы с правами собственности / разрешениями, которые ведут себя странно, мы можем видеть (и удалять) права собственности и разрешения людей, которых больше нет.

Обновление, намного позже: я узнал от коллеги, который проходит проверку от Microsoft, что учетные записи в вашей AD требуют лицензии «на место» (если вы качаетесь таким образом), являются ли они реальным человеком и или не человек все еще присутствует. Таким образом, есть аргумент для удаления!

Дэвид Макинтош
источник
3
Хороший вопрос с SID на явных ACL
Мэтт Рогиш,
2
Мой менеджер также использует этот аргумент. Если честно, я не за то, чтобы просто отключать аккаунты, а скорее удаляю их. В соответствии с передовой практикой не следует явно разрешать пользователям доступ к спискам ACL, а если SID только отображается, почему бы не удалить его?
Fenster
4
Потому что «лучшие практики» не всегда случаются в реальном мире, особенно если у вас есть пользователи, которые возятся с разрешениями сами. Оставив там имя пользователя, вы можете найти ответственного человека и (пусть он) решить, что должно произойти сейчас, когда ушедший ... ушел ... ушел.
Дэвид Макинтош
2
Отключенные учетные записи требуют Cal? Это не кажется правильным. Я понимаю, включены учетные записи, но на самом деле?
Джейсон Берг
1
MS дала какие-либо подробности относительно того, почему это произошло? Я всегда слышал, что на пользователя приходилось по одному человеку, а не по учетной записи.
Дэвид
11

Здесь, в моем доме Высшего Эда, у нас есть политика отключения и сохранения в течение 2 недель.

  • Когда их учетная запись будет указана в Banner как «неактивная», пакетная обработка следующей ночью отключит процесс «Отключить».
    • Их учетные записи Novell отключены И введено ограничение времени входа в систему.
    • Их учетные записи AD отключены И введено ограничение времени входа в систему.
    • Для их учетных записей Exchange установлено ограничение на доставку, что заставляет пересылать всю почту на эту учетную запись (впервые в Exchange 2007 отключенные учетные записи все еще могут получать почту).
  • Проходит две недели, в течение которых менеджеры времени могут выбрасывать флаги хранения данных. Мы имеем дело со специальными снежинками в течение этого интервала.
  • По истечении двух недель учетные записи, пользовательские каталоги и почтовые ящики очищаются.

Менеджеры, запрашивающие доступ к данным каталога пользователя, получают CD, а не прямой доступ. FAR слишком часто в прошлом говорил, что менеджеры просто используют каталог пользователя как еще одно хранилище файлов.

Менеджеры, запрашивающие доступ к электронной почте, получают PST-экспорт почтового ящика, а не прямой доступ.

Менеджеры жалуются на то, что 20-летний ветеран отдела был единственным контактным лицом для выполнения определенной важной функции, и поэтому им нужно держать имя рядом, чтобы критические письма не отскочили, а руки держали. Мы пытаемся поместить правило «Нет на работе» в отключенный почтовый ящик, в котором говорится, что человек ушел, и, пожалуйста, свяжитесь с ним. Затем мы установили жесткую дату удаления для этой учетной записи, соответственно, в будущем, чтобы удостовериться, что мир знает, что Человека А больше нет здесь. Мы НЕ помещаем этот адрес электронной почты в другой почтовый ящик, если можем вообще помочь. Мы не всегда успешны.

Иногда этот 20-летний ветеран был главным секретарем поддержки области, и, следовательно, был делегатом почти каждого с календарем, который нуждается в управлении. Как только такая учетная запись будет отключена, любой, отправляющий встречу в управляемые календари, получит необычные сообщения об отказах. Временное повторное включение учетной записи останавливает рикошетные сообщения, в то время как сотрудники рабочего стола проходят и вручную удаляют делегатов из всех почтовых ящиков. Персоналу настольных компьютеров может потребоваться несколько дней, чтобы договориться с владельцами указанных календарей, чтобы войти в систему и выполнить необходимые настройки. После этого учетная запись будет снова отключена и будет подлежать обычному двухнедельному удалению. Это одна из «особенностей» Exchange, которая мне особенно не нравится.

sysadmin1138
источник
7

Я не фанат немедленного удаления учетной записи AD после того, как сотрудник или подрядчик покинет компанию. Я обнаружил, что лучше отключать не менее 30 дней, а затем удалять отключенные учетные записи 1-2 раза в год.

Есть несколько причин, по которым вы не хотите немедленно удалять аккаунт:

1- Криминалистика. Если вашей организации необходимо подать в суд на сотрудника или подрядчика, вам понадобится исходный аккаунт (SID).

2- Автоматизированные задачи. Пользователи, особенно ИТ-специалисты, склонны настраивать автоматизированные задачи для выполнения таких задач, как запуск заданий, автоматизация отчетов, перезапуск сервисов и т. Д. Вы будете в затруднении, если вы удалите учетную запись пользователя до того, как обнаружите сложные рабочие места или задачи, связанные с идентификаторами. Вы не можете просто воссоздать учетную запись с тем же именем, потому что SID не будет таким же, и это то, что автоматические задачи смотрят на не видимое имя учетной записи.

Если вы отключите сначала, вы всегда сможете снова включить учетную запись, изменить или восстановить пароль, и вы вернетесь к работе, пока не получите работу, переведенную на действительную служебную учетную запись.

4

У нас довольно строгие требования к аудиту, и нас часто просят доказать, что пользователь был отключен и когда. Чтобы справиться с этим, мы склонны отключать учетную запись, когда нам говорят, что они ушли. Переместите отключенные учетные записи в их собственное подразделение и обновите описание, указав дату, которую они оставили (это также удобно для того, чтобы позволить нам отключать людей, которые исчезают на длительный период времени, и повторно включать их, когда они возвращаются).

Как только они ушли на 6 месяцев, мы их удаляем.

Mike1980
источник
Разве эта дата не может быть «игровой» или AD хранит неактивную дату, которую нелегко редактировать администраторы? Я думаю, вы могли бы посмотреть на последнюю измененную дату, но если вы когда-либо
коснетесь
Его можно довольно легко изменить, к счастью, он еще не создан :-) Если он когда-либо запрашивается, всегда есть последний измененный атрибут объекта пользователя, который должен иметь ту же дату, что и дата в поле описания, когда учетная запись была отключена. ,
Mike1980
Конечно, ничто не мешает администратору изменить дату в DC, изменить учетную запись и изменить дату назад ... Криминалистика действительно жесткая в наши дни.
Крис С
4

Если они пропали более 3 месяцев, я удаляю их аккаунты. Все наши системы имеют принудительное перенаправление рабочего стола и папок с помощью GPO для «Мои документы / Рабочий стол» и т. Д., Поэтому после удаления я заархивирую их на свой архивный том на файловом сервере.

Я педантичен в отношении использования групп безопасности на основе ролей в A / D для всего, поэтому нет пользователей, у которых есть разрешения на файловую систему или что-то еще, неявно примененное, так что нет ничего важного в удалении пользователя. Настройка этого требует немного обдумывания и головокружения - но я действительно рекомендую это сделать, так как управление разрешениями в сети Windows становится легким делом.

Что касается обмена, я экспортирую почтовый ящик с помощью ExMerge и помещаю PST в заархивированную папку, затем настраиваю пересылку или отскок сообщений в зависимости от роли оставившего человека.

ColtonCat
источник
3

Политика в университете, в котором я учился и работал, заключается в следующем:

Студенты

  • при снятии
    • отключить аккаунт
    • 30 дней спустя, удалить, если не повторно зарегистрирован
  • выпускной + 90 дней
    • отключить аккаунт
    • создать адрес пересылки "alum"
    • удалить через 30 дней

Персонал / факультет

  • при выходе
    • отключить аккаунт
    • удалить через 30 дней
кроличий садок
источник
3

При удалении учетных записей компьютеров может возникнуть очень большая проблема: закон.

В соответствии с Директивой ЕС о защите данных некоторые государства-члены (в частности, Польша) требуют никогда не присваивать один и тот же идентификатор пользователя кому-либо еще и в то же время вести журнал того, кому и когда был предоставлен доступ и когда доступ был аннулирован.

Короче говоря: если вы имеете дело с личными данными, лучше спросите юриста / юридическую команду.

Хьюберт Карио
источник
У кого-нибудь есть источник для польского требования? Я не могу найти это требование ни в директиве ЕС, ни в законодательстве, реализующем директиву для Польши или Великобритании.
Адам Томпсон
1
@AdamThompson: к сожалению, я не смог найти его по-английски, но вот по-польски: giodo.gov.pl/144/id_art/1002/j/pl (Дз. U. z 2004 г. № 100, поз. 1024 ) вы можете найти его в Приложении A, § IV, пункт 1: «Идентификационные данные, относящиеся к развитию образования, до сих пор, не могут быть понятными.», переводчик Google делает достойную работу в этом.
Хьюберт Карио
1
Исправление, я нашел их здесь: giodo.gov.pl/409/id_art/209/j/en
Юбер Карио
Большое спасибо, Хьюберт. Мое прочтение этого предположило бы, что вы не можете повторно использовать одну и ту же учетную запись, но создание новой учетной записи с тем же именем будет в порядке. Старая учетная запись "adam@example.com" будет удалена, и, возможно, позже будет создана новая учетная запись "adam@example.com", но она будет иметь другой SID или UID и, следовательно, будет другим "Identyfikator" / МНЕ БЫ. Возможно, юристы спорят, хотя как это будет работать в случае с правовой системой гражданского (в отличие от общего) права, я не уверен.
Адам Томпсон
1
@AdamThompson: Я уверен, что это неправильное чтение. Смотри II.2. «б) доступ к данным возможен только после ввода идентификатора и аутентификации пользователя». Вы не вводите SID / UID, вы вводите удобочитаемое имя пользователя, поэтому у вас не может быть двух пользователей с «adam@example.com». Теперь, если вы можете создать несколько учетных записей, которые используют один и тот же SID / UID ... что я не знаю, но, вероятно, тоже не разрешено.
Юбер Карио
2

Если вы создали резервные копии всех их данных, я не вижу причин сохранять активную учетную запись каталога. Однако я хотел бы сохранить их учетную запись электронной почты активной и пересылать их по электронной почте кому-то еще, если клиент связывается с ними или другим партнером.

Highstead
источник
2

У меня есть два клиента-консультанта, из которых я работал на полную ставку. Мой личный номер и все одинаковые, и я уверен, что они никогда не удаляют учетные записи AD - они просто отключают их - когда я вернулся, они просто восстановили меня.

Единственная проблема, которую я вижу, состоит в том, что все мои членства в группах и доступы, которые связаны с моим SID (я думаю, что только членство в группах AD), все еще существуют, поэтому, если я должен был вернуться в ограниченном качестве, проверка этих членств быть критическим шагом.

Затем, независимо от того, удаляете ли вы и воссоздаете ли вы или отключаете и включаете, если имя samaccount остается прежним, ВСЕ другие системы, которые ссылаются на эту учетную запись пользователя, должны быть удалены.

Джейсон Клебан
источник
2

Я работаю специалистом по удаленной поддержке (Elevated HelpDesk) для энергетической компании Fortune 500. Учитывая характер нашего бизнеса, у нас есть все типы сценариев, начиная от подрядчиков, которые приходят и уходят к 20-летнему ветерану, как описано выше. Из того, что я видел, наша политика полностью исключена.

Все учетные записи имеют номер последнего билета, дату и тип изменения в поле описания. Например, Change Order 123456 Created on 00/00/00 by the access manager Terminated on 00/00/00илиRe-enabled on 00/00/00 by Manager's Name

Сразу же после уведомления о несоответствии HelpDesk отключает учетную запись. После подтверждения или автоматически по истечении заданного времени пользователь ~~~00/00/00выводит в OU отключенных учетных записей три объявления тильды и дату завершения ( ) на отображаемое имя, чтобы как ИТ-специалисты, так и конечные пользователи могли быстро идентифицировать пользователя, что он не одинок в компании. ,

Я не могу предоставить информацию о том, что происходит с данными. Я не работаю в этом отделе. Но я знаю, что примерно через месяц мотылек полностью исчез.

Эти концепции данных и хранения, хотя и защищают организацию от недовольного сотрудника, должны быть частью ИТ-политик любой организации. Но время между каждым шагом будет зависеть от компании.

Это действительно помогает нам в настольных ПК, особенно при устранении неполадок с сообщениями.

Надеюсь это поможет

kokan90
источник
1

У нас есть люди, которые обычно уходят, а затем возвращаются где-то от недели до шести месяцев спустя. Когда мы отключали учетные записи, у нас возникали некоторые проблемы, которые я не могу вспомнить сейчас ... возможно, связанные с электронной почтой? Другое предупреждение? Вместо этого мы изменили нашу процедуру, чтобы пароль сбрасывался на что-то похожее на тарабарщину, и в поле описания помещалась заметка, подробно описывающая ситуацию, чтобы любой, кто редактирует свою пользовательскую информацию, знал ее для справки.

Счет в конечном итоге выкатывается независимо от того, что когда-то они должны были закончить.

Удаление учетной записи тут же и там ... Я бы сказал, что это вопрос политики, но удержание также имеет преимущество в том, чтобы "играть безопасно" в случае ошибки или изменения ситуации. Или есть простое удаление данных, и вдруг кому-то понадобится доступ к определенным файлам, информации, почте и т. Д., Но это можно сделать другими способами, если у вас есть политика для восстановления старой информации и тому подобное. Для нас просто проще хранить части учетной записи некоторое время, пока не будет решено, что она больше не понадобится, это уменьшит некоторые усилия и головную боль в дальнейшем.

Барт Сильверстрим
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.