Когда сотрудник покидает вашу организацию, вы удаляете или отключаете его учетную запись Active Directory? Наша СОП состоит в том, чтобы отключить, экспортировать / очистить почтовый ящик Exchange, а затем по истечении «некоторого времени» (обычно ежеквартально) удалить учетную запись.
Есть ли необходимость в такой задержке? Почему бы мне сразу после экспорта и очистки их почтового ящика не удалить учетную запись?
Отключаем аккаунты. Их «описания» обновляются, чтобы указать дату отъезда, и они перемещаются в иерархии AD в папку в зависимости от того, в каком состоянии они находятся (ушел + электронное письмо куда-то отправлено, ушло + предварительное архивирование, архивирование).
У нас есть большое количество сложных файлов и иерархий папок. Если вы удалите учетную запись из Active Directory, и файл / папка с явными списками ACL для каждого пользователя будут отображать данные ACL как SID. И я не нашел никакого способа выяснить по SID, какая учетная запись была раньше, потому что учетная запись была удалена.
Таким образом, когда люди смотрят на проблемы владения / разрешений, которые ведут себя странно, мы можем видеть (и удалять) владения и разрешения людей, которых больше нет.
Обновление, намного позже: Я узнал от коллеги, который проходит аудит от Microsoft, что для учетных записей в вашем AD требуется «per seat» лицензия (если вы так качаете), независимо от того, являются ли они реальным человеком и является ли он еще настоящее время. Так что есть аргумент в пользу удаления!
Когда они уходят, они обычно не возвращаются. Не вижу причин вешать старые аккаунты. Вот что мы делаем:
Файлы:
Электронная почта:
Здесь, в моем доме в Высшем Эде, у нас действует политика об отключении и удержании на 2 недели.
Менеджерам, запрашивающим доступ к данным каталога пользователей, предоставляется компакт-диск, а не прямой доступ. FAR слишком часто в прошлом заявлял, что менеджеры просто используют каталог пользователя как еще одно хранилище файлов.
Менеджерам, запрашивающим доступ к электронной почте, предоставляется экспорт почтового ящика в формате PST, а не прямой доступ.
Менеджеры жалуются, что 20-летний ветеран отдела был единственным контактным лицом для определенной критически важной функции, и поэтому им нужно держать имя при себе, чтобы важные письма не отбрасывались, а держали их за руки. Мы пытаемся установить правило «Нет на работе» для отключенного почтового ящика, в котором говорилось бы, что человек ушел, и вместо этого свяжитесь с человеком Б. Затем мы устанавливаем жесткую дату удаления для этой учетной записи в достаточно далеком будущем, чтобы убедиться, что мир знает, что Человека А больше нет. Мы НЕ помещаем этот адрес электронной почты в другой почтовый ящик, если вообще можем ему помочь. У нас не всегда получается.
Иногда этот 20-летний ветеран был главным секретарем поддержки региона и поэтому был делегатом почти всех, у кого был календарь, которым нужно управлять. Как только такая учетная запись будет отключена, любой, кто отправит встречу в управляемые календари, получит необычные сообщения о недоставке. Временное повторное включение учетной записи останавливает возврат сообщений, пока персонал рабочего стола просматривает и вручную удаляет делегатов из всех почтовых ящиков. Персоналу настольных компьютеров может потребоваться несколько дней, чтобы договориться с владельцами указанных календарей, чтобы войти и выполнить необходимые настройки. После этого учетная запись будет повторно отключена и будет удалена в обычном режиме через 2 недели. Это одна «особенность» Exchange, которая мне особенно не нравится.
Я не сторонник немедленного удаления учетной записи AD после ухода сотрудника или подрядчика из компании. Я обнаружил, что лучше отключить как минимум на 30 дней, а затем удалять отключенные учетные записи 1-2 раза в год.
Есть несколько причин, по которым вы не хотите сразу удалять учетную запись:
1- Криминалистика. Если вашей организации необходимо возбудить судебный иск против сотрудника или подрядчика, вам понадобится исходная учетная запись (SID).
2- Автоматизированные задачи. Пользователи, особенно ИТ-специалисты, склонны настраивать автоматизированные задачи, чтобы выполнять такие мысли, как выполнение заданий, автоматизация отчетов, переработка сервисов и т. Д. Если вы удалите учетную запись пользователя до того, как поймете, что это сложно, вы будете в затруднительном положении. вакансии или задачи, привязанные к идентификаторам. Вы не можете просто воссоздать учетную запись с тем же именем, потому что SID не будет таким же, и это то, что автоматические задачи смотрят на не видимое имя учетной записи.
Если вы отключите сначала, вы всегда можете повторно включить учетную запись, изменить или восстановить пароль и вернуться к работе до тех пор, пока работа не будет переведена на законную учетную запись службы.
У нас довольно строгие требования к аудиту, и нас часто просят доказать, что пользователь был отключен и когда. Чтобы справиться с этим, мы обычно отключаем учетную запись, когда нам говорят, что они ушли. Переместите отключенные учетные записи в их собственное подразделение и обновите описание, указав дату, когда они ушли (это также полезно, поскольку позволяет нам отключать людей, которые исчезают на длительный период времени, и повторно включать их, когда они возвращаются).
По истечении 6 месяцев мы их удаляем.
Если они ушли более 3 месяцев, я удаляю их аккаунты. Все наши системы имеют принудительное перенаправление рабочего стола и папок GPO для «Мои документы / Рабочий стол» и т. Д., Поэтому после удаления я архивирую их в свой архивный том на файловом сервере.
Я педантично отношусь к использованию групп безопасности на основе ролей в A / D для всего, поэтому нет пользователей, у которых есть разрешения на файловую систему или что-либо еще неявно примененное, поэтому нет ничего важного в удалении пользователя. Настройка этого требует некоторых размышлений и ломки головы, но я действительно рекомендую сделать это, поскольку это упрощает управление разрешениями в сети Windows.
Что касается обмена, я экспортирую почтовый ящик с помощью ExMerge и помещаю .pst в заархивированную папку, а затем настраиваю пересылку или возврат сообщений в зависимости от роли человека, который ушел.
В университете, в котором я учился и в котором я работал, действуют следующие правила:
При удалении учетных записей компьютеров может возникнуть очень большая проблема: закон.
Под ЕС Директива о защите данных Некоторые государства-члены (в частности, Польша) требуют никогда не назначать один и тот же идентификатор пользователя кому-либо и в то же время вести журнал того, кому и когда был предоставлен доступ и когда доступ был отменен.
Вкратце: если вы имеете дело с личными данными, лучше спросите у юриста / юридической команды.
Если вы сделали резервную копию всех их данных, я не вижу причин сохранять активную учетную запись каталога. тем не мение Я бы сохранил их учетную запись электронной почты активной и пересылал бы их электронную почту кому-то еще, если клиент свяжется с ними или другим партнером.
У меня есть два клиента-консультанта, из которых я работал на полную ставку. Мой личный номер и все то же самое, и я почти уверен, что они никогда не удаляют учетные записи AD - они просто отключают их - когда я вернулся, они просто восстановили меня.
Единственная проблема, которую я вижу, это то, что все мое членство в группах и доступы, привязанные к моему SID (я думаю, только членство в группах AD), все еще существуют, поэтому, если бы я должен был вернуться в ограниченном качестве, проверка этого членства быть важным шагом.
Затем, независимо от того, удаляете ли вы и воссоздаете или отключаете и включаете, если samaccountname остается прежним, ВСЕ другие системы, которые ссылаются на эту учетную запись пользователя, должны быть очищены.
Я работаю техником удаленной поддержки (Elevated HelpDesk) в энергетической компании со статусом Fortune 500. Учитывая характер нашего бизнеса, у нас есть все типы сценариев, от подрядчиков, которые приходят и уходят, до 20-летнего ветерана, как описано выше. Судя по тому, что я видел, наша политика окончена.
Все аккаунты имеют последний номер билета, дату и тип изменения в поле описания. Например. Change Order 123456 Created on 00/00/00 by the access manager Terminated on 00/00/00 или Re-enabled on 00/00/00 by Manager's Name
Сразу после уведомления о несоответствии HelpDesk отключает учетную запись. После подтверждения или автоматически по истечении установленного времени пользователь отключит OU учетных записей и объявит три тильды и дату прекращения (~~~00/00/00) к отображаемому имени, чтобы ИТ-специалисты и конечные пользователи могли быстро определить, что пользователь не одинок с компанией.
Я не могу предоставить информацию о том, что происходит с данными. Я не работаю в этом отделе. Но я знаю, что примерно через месяц аккаунт полностью исчез.
Эти концепции данных и их хранения, в то же время защищающие организацию от недовольного сотрудника, должны быть частью ИТ-политики любой организации. Но время между каждым этапом зависит от компании.
Это действительно помогает нам на рабочем столе, особенно при устранении проблем с обменом сообщениями.
Надеюсь это поможет
У нас есть люди, которые обычно уходят, а затем возвращаются через неделю или полгода. Когда мы отключили учетные записи, у нас возникла проблема, характер которой я не могу вспомнить ... возможно, связанную с электронной почтой? Другое предупреждение? Вместо этого мы изменили нашу процедуру так, чтобы пароль был сброшен на что-то вроде тарабарщины, а в поле описания была помещена заметка с подробным описанием ситуации, чтобы любой другой, редактирующий свою пользовательскую информацию, знал это для справки.
Учетная запись в конечном итоге развертывается независимо от того, что они должны были закончить.
Удаление учетной записи на месте ... Я бы сказал, что это вопрос политики, но задержка также имеет преимущество «перестраховаться» в случае ошибки или изменения ситуации. Или есть разветвление простого удаления данных, и вдруг кому-то нужен доступ к определенным файлам, информации, почте и т. Д., Но это можно решить другими способами, если у вас есть политики для восстановления старой информации и так далее. Для нас просто проще сохранить часть учетной записи на некоторое время, пока не будет решено, что она больше не нужна, что снижает некоторые усилия и головную боль в дальнейшем.