Active Directory: удаление или отключение уволенных сотрудников [закрыто]

Мы отключаем учетные записи. Их "описания" обновляются для указания на дату отъезда, и они перемещены в AD иерархию к папке в зависимости от того, какое состояние отъезда они находятся в (gone+email переданы где-нибудь, gone+pre-archive, заархивированный).

У нас есть большое количество сложных файлов и иерархий папок. Если Вы удаляете учетную запись из Active Directory, и файлу/папке с явным ACLs в расчете на пользователя отобразят те данные ACL как SID. И я не нашел способа фигурировать из SID, которые считают его, раньше был - потому что учетная запись была удалена.

Таким образом, когда люди смотрят на проблемы владения/полномочий, которые ведут себя странно, мы видим (и удалите), владения и полномочия людей, которые больше не присутствуют.

Обновление, намного позже: Я учился от коллеги, который подвергается аудиту от Microsoft, которая считает в Вашем AD, требуют лицензии "на рабочее место" (если Вы качаете тот путь), являются ли они живым человеком и присутствует ли человек все еще. Таким образом, существует аргумент, который будет сделан для удаления!

Здесь в моем месте Более высокого Ed мы имеем запрещение и сохраняем для политики 2 недель.

• Когда их учетная запись будет перечислена в Баннере как 'неактивная', пакетная обработка следующей ночи исчерпает Запрещать процесс.
  • Их учетные записи Novell отключены, И разовое входом в систему ограничение помещается на месте.
  • Их AD учетные записи отключены, И разовое входом в систему ограничение помещается на месте.
  • Их учетные записи Exchange установлены с Ограничением Доставки на себя, вынудив всю почту в ту учетную запись возвратиться (новый с Exchange 2007, отключенные учетные записи могут все еще получить почту).
• Две недели протекают, за это время менеджеры могут бросить флаги хранения данных. Мы имеем дело со специальными снежинками во время этого интервала.
• В конце учетных записей двух недель очищены пользовательские каталоги и почтовые ящики.

Менеджерам, запрашивающим доступ к данным пользовательского каталога, дают CD, не прямой доступ. Слишком часто в прошлых упомянутых менеджерах просто используют пользовательский каталог пока еще другое хранилище файлов.

Менеджерам, запрашивающим доступ к электронным письмам, дают экспорт PST почтового ящика и не прямой доступ.

Менеджеры, жалующиеся, который сказал, что 20-летний ветеран отдела был единственной точкой контакта для определенной критической функции и поэтому, они должны иметь в наличии имя, таким образом, критические письма не становятся возвращенными, достают сохраненные. Мы пытаемся поместить Из правила Office об отключенном почтовом ящике, заявляя, что человек уехал и контактное лицо B вместо этого. Мы затем устанавливаем твердую удалять-дату той учетной записи соответственно далеко в будущем, чтобы удостовериться, что мир знает, что Человек A больше не здесь. Мы НЕ помещаем тот адрес электронной почты на другой почтовый ящик, если мы можем во всей справке он. Мы не всегда успешны.

Иногда тот 20-летний ветеран был главной поддержкой секретаря области и поэтому был Делегатом в значительной степени всех с календарем, которому нужно управление. Как только учетная запись как этот отключена, любой отправляющий назначение в управляемые календари получит необычные возвращенные сообщения. Временно перевключение учетной записи останавливает возвращенные сообщения, в то время как настольные сотрудники проходят и вручают - удаляют Делегатов изо всех почтовых ящиков. Это может занять несколько дней для настольного штата для согласования с владельцами упомянутых календарей, чтобы войти и установить необходимые настройки. Учетная запись затем повторно отключена и подвергнется обычному 2-недельному удалению. Это - одна 'функция' Exchange, который я особенно не люблю.

Мы имеем довольно строгие требования аудита и часто просимся доказать, что пользователь был отключен, и когда. Для контакта с этим, мы склонны отключать учетную запись, когда нам говорят, что они уехали. Переместите отключенные учетные записи в их собственный OU и обновите описание с датой, которую они покинули (это также пригождается для того, чтобы позволить нам отключать людей, которые исчезают в течение длительного промежутка времени и повторно включают им, когда они возвращаются).

После того как они шли в течение 6 месяцев затем, мы удаляем их.

Если их не стало больше 3 месяцев, я удаляю их учетные записи. Все наши системы имеют осуществленный рабочий стол GPO и перенаправление папки для Моих Документов/Рабочего стола и т.д., поэтому после удаления, я архивирую тех, которые к моему объему архивов на файловом сервере.

Я педантичен об использовании групп безопасности на уровне ролей на A/D для всего, таким образом, нет никаких пользователей, у которых есть полномочия к файловой системе или чему-либо еще неявно примененному, таким образом, никакая важная персона, удаляющая пользователя. Установка этого берет немного мысли и царапания головы - но я действительно рекомендую, чтобы каждый сделал это, поскольку это действительно делает руководящие полномочия в Windows Network подпругой.

Что касается обмена, я экспортирую почтовый ящик с ExMerge, и помещаю .pst с заархивированной папкой, затем устанавливаю передачу или возвращенные сообщения в зависимости от роли человека, который уехал.

У меня есть два консультационных клиента, из которых я раньше был штатным сотрудником. Мое число персонала и все являются тем же, и я вполне уверен, они никогда не удаляют AD учетные записи - они просто отключают их - когда я возвратился, они просто восстановили меня.

Единственная проблема, которую я вижу, существует то, что все мои составы группы и доступы, которые связываются с моим SID (AD составы группы только, я думаю) все еще там, поэтому если бы я, как предполагалось, возвратился в сниженной производительности, то рассматривание тех членств было бы критическим шагом.

Затем независимо от того, удаляете ли Вы и воссоздаете или запрещаете ли Вы и включаете, если бы samaccountname остается таким же, ВСЕ другие системы, что ссылка, что учетная запись пользователя должна была бы быть вычищена.

У нас есть люди, которые обычно забирают затем возврат где угодно с недели к шесть месяцев спустя. Когда мы отключили бы учетные записи, у нас была некоторая проблема, из которой я не могу вспомнить природу теперь... возможно связанная электронная почта? Некоторое другое предупреждение? Мы изменили нашу процедуру вместо этого так, чтобы пароль был изменен к чему-то сродни мусору, и примечание помещается в поле описания, детализирующее ситуацию, таким образом, кто-либо еще редактирующий их информацию о пользователе знал бы это для ссылки.

Учетная запись в конечном счете развертывается независимо от того, что, после того как они, как предполагается, получили высшее образование.

Удаление учетной записи прямо здесь... Я сказал бы, что это - вопрос политики, но задержка действительно также обладает преимуществом "избегания рискованных действий" в случае, если существует ошибка или изменение ситуации. Или существует разветвление к простому удалению данных, и внезапно кому-то нужен доступ к определенным файлам или информации или почте, и т.д...., но это может быть обработано через другие средства при наличии политик восстановить старую информацию и этажерку. Для нас просто легче иметь в наличии части учетной записи некоторое время, пока это не улажено, что это больше не будет необходимо, уменьшает некоторое усилие и головную боль позже.

Если Вы создали резервную копию всех их данных, я не вижу оснований для хранения активной учетной записи каталога. Однако я сохранил бы их почтовый ящик активным, и вперед на их электронной почте кому-то еще упаковывают клиент, связывается с ними или другим партнером.

Политика в университете я принял участие и работал - на, следующее:

Студенты

• после отказа
  • отключите учетную запись
  • 30 дней спустя удалите если не повторно зарегистрированный
• церемония вручения дипломов + 90 дней
  • отключите учетную запись
  • создайте "квасцовый" адрес пересылки
  • удалите 30 дней спустя

Штат / Способность

• после отъезда
  • отключите учетную запись
  • удалите 30 дней спустя

Я не поклонник непосредственного удаления AD учетной записи после сотрудника, или подрядчик покидает компанию. Я нашел, что это лучше отключать в течение по крайней мере 30 дней и затем удалять отключенные времена учетных записей 1-2 год.

Существует несколько причин, почему Вы не хотите удалять учетную запись сразу:

1-судебных экспертиз. Если Ваша организация будет иметь потребность преследовать судебный иск против сотрудника или подрядчика, то Вам будет нужна исходная учетная запись (SID).

2-Автоматизированных Задач - Пользователи, особенно рабочие IT, склонны устанавливать автоматизированные задачи сделать, думает как выполненные задания, автоматизируйте отчеты, переработайте сервисы и т.д. Ваша попытка быть в безвыходном положении при удалении учетной записи пользователя перед пониманием, была сложными заданиями или задачами, связанными с идентификатором. Вы не можете просто воссоздать учетную запись с тем же именем, потому что SID не будет тем же, и это - то, что автоматизированные задачи смотрят на не видимое название учетной записи.

Если Вы отключаете сначала, можно всегда повторно включать учетную запись, изменять или восстанавливать пароль и спину в бизнесе, пока Вы не добираетесь, задание перешло к законной сервисной учетной записи.

Может быть очень большая проблема с удалением учетных записей компьютера: закон.

В соответствии с Директивой Защиты данных ЕС некоторые государства-члены (Польша в особенности) требуют, чтобы никогда не присвоить тот же идентификатор пользователя кому-либо еще и в то же время, сохранить журнал того, кто и при имении предоставленного доступа и когда доступ был отклонен.

Короче говоря: если Вы имеете дело с персональными данными, лучше спросите команду адвоката / легальную команду.

Я работаю техником удаленной поддержки (расширенная служба поддержки) в энергетической компании со статусом Fortune 500. Учитывая характер нашего бизнеса, у нас есть все типы сценариев, от подрядчиков, которые приходят и уходят, до 20-летнего ветерана, как описано выше. Судя по тому, что я видел, наша политика полностью сокращена.

Все учетные записи имеют последний номер билета, дату и тип изменения в поле описания. Например, Изменить заказ 123456 Создан 00/00/00 менеджером доступа Прерван 00/00/00 или Повторно активирован 00/00/00 по имени менеджера

Сразу после уведомления о несоответствии HelpDesk отключает учетную запись. После подтверждения или автоматически по истечении заданного времени пользователь отключает OU учетных записей и отображает три тильды и дату прекращения ( ~~~ 00/00/00 ) в отображаемом имени, чтобы позволить ИТ-специалистам и конечным пользователям чтобы быстро идентифицировать с первого взгляда, что пользователь не одинок с компанией.

Я не могу предоставить информацию о том, что происходит с данными. Я не работаю в этом отделе. Но я знаю, что примерно через месяц учетная запись исчезла полностью.

Эти концепции данных и хранения, при этом защищая организацию от недовольного сотрудника, должны быть частью ИТ-политики любой организации. Но время между каждым шагом зависит от компании.

Это действительно помогает нам в настольных компьютерах, особенно при устранении проблем с обменом сообщениями.

Надеюсь, это поможет