Bir çalışan kuruluşunuzdan ayrıldığında Active Directory hesabını siler veya devre dışı bırakır mısınız? SOP'umuz Exchange posta kutusunu devre dışı bırakmak, dışa aktarmak / temizlemek ve ardından "bir süre" geçtikten sonra (genellikle üç ayda bir), hesabı silmek.
Bu gecikmeye herhangi bir ihtiyaç var mı? Posta kutularını dışa aktarıp temizledikten sonra, o zaman ve oradaki hesabı neden silmemeliyim?
Yanıtlar:
Bir kez istifa ettiklerinde genellikle geri gelmezler. Eski hesaplara takılmak için hiçbir neden göremiyorum. İşte yaptığımız şey:
Dosyalar:
E-postalar:
Hesapları devre dışı bıraktık. Onların "açıklamaları" kalkış tarihini gösterecek şekilde güncellenir ve AD sıradüzeninde hangi başlangıç durumuna bağlı olduklarına bağlı olarak bir klasöre taşınırlar (gitmiş + bir yere iletilmiş, gitmiş + önceden arşivlenmiş, arşivlenmiş).
Çok sayıda karmaşık dosya ve klasör hiyerarşisine sahibiz. Hesabı Active Directory'den silerseniz ve açık kullanıcı başına ACL'leri olan dosya / klasör, bu ACL verisinin SID olarak görüntülenmesini sağlar. Ve hesap silindiği için SID'den bir hesap bulmanın bir yolunu bulamadım.
Bu şekilde insanlar garip davranan mülkiyet / izin sorunlarına baktıklarında, artık bulunmayan kişilerin sahiplik ve izinlerini görebiliriz (ve silebiliriz).
Güncelleme, çok sonra: Microsoft’un denetlemekte olan bir meslektaşımdan, AD’nizdeki hesapların “kişi başına” lisans gerektirdiğini (bu şekilde sallanıyorsanız), gerçek bir kişi olup olmadıklarını ve kişi hala mevcut değil. Yani silmek için yapılacak bir tartışma var!
Burada Higher Ed'deki yerimde, 2 haftalık bir politika için bir sakatlık ve tutuklama var.
Kullanıcı dizini verilerine erişim isteyen yöneticilere doğrudan erişim değil bir CD verilir. Geçmişte çok sık FAR, yöneticilerin sadece kullanıcı dizinini başka bir dosya deposu olarak kullandıklarını söyledi.
E-postalara erişim isteyen yöneticilere, posta kutusunun PST dışa aktarımı verilir, doğrudan erişime izin verilmez.
Yöneticiler, bölümün 20 yıllık emektarının belirli bir kritik işlev için tek temas noktası olduğunu ve bu nedenle isimlerini etrafta tutmaları gerektiği için eleştirel postaların geri dönmemesi, ellerini tutmaları gerektiğinden şikayet ettiler. Devre dışı bırakılmış posta kutusuna, bir kişinin ayrıldığını belirten bir Office Dışı kuralı koymaya çalışırız ve bunun yerine lütfen B Kişi ile iletişime geçin. Daha sonra, dünyanın A Kişisinin artık burada olmadığını bildiğinden emin olmak için gelecekte bu hesaba uygun bir silme tarihi belirledik. Eğer yardım edebilirsek, bu e-posta adresini başka bir posta kutusuna koymuyoruz. Her zaman başarılı değiliz.
Bazen bu 20 yıllık emektar, bir bölge için birincil sekreterlik desteğiydi ve bu nedenle yönetilmesi gereken bir takvime sahip hemen hemen herkesin Delegesiydi. Bunun gibi bir hesap devre dışı kalır kalmaz, yönetilen takvimlere randevu gönderen herkes olağandışı hemen çıkma iletileri alır. Hesabın geçici olarak yeniden etkinleştirilmesi, masaüstü çalışanları geçerken ve Delegeleri tüm posta kutularından el ile kaldırırken geri dönen iletileri durdurur. Bu, masaüstü personelinin söz konusu takvimlerin sahipleriyle anlaşması ve gerekli ayarları yapması için birkaç gün sürebilir. Hesap daha sonra tekrar devre dışı bırakılır ve 2 haftalık normal silme işlemine tabi tutulur. Bu, özellikle sevmediğim Exchange'in bir 'özelliği'.
Bir çalışan veya müteahhit şirketi terk ettikten sonra hemen bir AD hesabını silme hayranı değilim. En az 30 gün boyunca devre dışı bırakmanın ve engelli hesaplarını yılda 1-2 kez silmenin en iyi olduğunu buldum.
Bir hesabı derhal silmek istememenizin birkaç nedeni vardır:
1- Adli tıp. Kuruluşunuzun bir çalışan veya yükleniciye karşı yasal işlem başlatması gerekiyorsa, orijinal hesaba (SID) ihtiyacınız olacaktır.
2- Otomatik Görevler - Kullanıcılar, özellikle BT çalışanları, çalışma işleri, raporları otomatikleştirme, geri dönüşüm hizmetleri, vb. Gibi işlemler için otomatik görevler ayarlama eğilimindedir. Kullanıcı hesabını karmaşık hale getirmeden önce silerseniz, sıkıntıya gireceksiniz. kimliğe bağlı işler veya görevler. SID aynı olmayacağından ve hesabın görünen adını değil, otomatikleştirilmiş görevlerin göründüğü için hesabı aynı adla kolayca yeniden oluşturamazsınız.
Öncelikle devre dışı bırakırsanız, işi meşru bir hizmet hesabına geçirinceye kadar her zaman hesabı yeniden etkinleştirebilir, şifreyi ve şifreyi ve işinize geri dönebilirsiniz.
Oldukça sıkı denetim gereksinimlerimiz var ve sıklıkla bir kullanıcının ne zaman ve nasıl devre dışı bırakıldığını ispatlaması isteniyor. Bununla başa çıkmak için, bizden ayrıldıklarını söylediğimizde hesabı devre dışı bırakma eğilimindeyiz. Devre dışı bırakılmış hesapları kendi OU'larına taşıyın ve açıklamayı bıraktıkları tarihe göre güncelleyin (ayrıca uzun süre kaybolan kişileri devre dışı bırakmamıza ve geri döndüklerinde tekrar etkinleştirmemize izin vermemizde de kullanışlı olur).
6 ay boyunca gittikten sonra onları siliyoruz.
3 aydan daha fazla bir süre boyunca gittikleri takdirde hesaplarını silerim. Tüm sistemlerimizde Belgelerim / Masaüstü vb. İçin GPO zorlamalı masaüstü ve klasör yeniden yönlendirme var, bu yüzden sildikten sonra bunları dosya sunucusundaki arşiv hacmine arşivledim.
Her şey için A / D'de rol tabanlı güvenlik gruplarını kullanma konusunda bilgili olduğumdan, dosya sistemine veya dolaylı olarak uygulanan herhangi bir şey için izinleri olan hiçbir kullanıcı yok, bu nedenle bir kullanıcıyı silmekle ilgili biggie yok. Bunu ayarlamak biraz düşünmeyi ve kafa çizmeyi gerektiriyor - ancak bir Windows Ağındaki yönetme izinlerini daha kolay hale getirdiği için bir tane yapmasını öneriyorum.
Exchange için posta kutusunu ExMerge ile dışa aktarıyorum ve .pst'yi arşivlenmiş klasöre koydum, sonra kalan kişinin rolüne bağlı olarak iletilerinizi iletiyorum veya atladım.
Katıldığım ve çalıştığım üniversitedeki politika şudur:
Bilgisayar hesaplarını silmede büyük bir sorun olabilir: hukuk.
AB Veri Koruma Direktifi uyarınca, bazı üye devletler (özellikle Polonya) hiçbir zaman kimseye aynı kullanıcı kimliğini tahsis etmemeyi ve aynı zamanda, kimin ve ne zaman erişim izni verildiğinin ve erişimin ne zaman iptal edildiğinin kaydını tutmayı gerektirir.
Kısacası: Kişisel verilerinizle ilgileniyorsanız, bir avukat / hukuk ekibine sorun.
Tam zamanlı çalışan biri olduğum iki danışmanlık müşterim var. Personel numaram ve her şey aynı, ve eminim ki AD hesaplarını asla silmiyorlar - sadece onları etkisiz hale getiriyorlar - geri döndüğümde beni yeniden görevlendirdiler.
Gördüğüm tek sorun, SID'ime bağlı olan tüm grup üyeliklerimin ve erişimimin (sadece AD grup üyelikleri, sanırım) hâlâ orada olmaları. Bu nedenle, azaltılmış bir kapasiteye geri dönmem gerekiyorsa, bu üyelikleri gözden geçirmem gerekirdi. kritik bir adım olun.
Ardından, silip yeniden yaratmanıza veya devre dışı bırakmanıza ve etkinleştirmenize bakılmaksızın, samaccountname aynı kalırsa, kullanıcı hesabına başvuran TÜM diğer sistemlerin silinmesi gerekir.
Bir servet 500 enerji kuruluşu için uzaktan destek (Yükseltilmiş Yardım Masası) teknisyeni olarak çalışıyorum. İşletmemizin doğasını besleyen, yukarıda açıklanan 20 yıllık emektar ile gelen müteahhitlerden değişen her tür senaryoya sahibiz. Gördüğüm kadarıyla politikamız kesiliyor ve kuruyor.
Tüm hesaplar en son bilet numarasına ve açıklama alanındaki değişiklik tarihine ve türüne sahiptir. örneğin Change Order 123456 Created on 00/00/00 by the access manager
Terminated on 00/00/00veyaRe-enabled on 00/00/00 by Manager's Name
Bir tutarsızlığın bildirilmesinin hemen ardından Yardım Masası, hesabı devre dışı bırakır. Onaylandıktan sonra veya belirli bir süre sonra otomatik olarak kullanıcı engelli hesaplarına giriş yapar ~~~00/00/00ve kullanıcılara bir bakışta hızlı bir şekilde tanımlamalarını sağlamak için BT kullanıcılarına ve son kullanıcılara hızlı bir şekilde tanımlamalarını sağlamak için ekran adına sonlandırma tarihini ( ) görüntüler. .
Verilere ne olduğu hakkında bilgi veremiyorum. Ben o bölümde çalışmıyorum. Fakat bir güvenden sonra hesabın tamamen gittiğini biliyorum.
Bu veri ve saklama kavramları, organizasyonun hoşnutsuz bir çalışandan korunmasına rağmen, herhangi bir kurumun BT politikalarının bir parçası olmalıdır. Ancak her adım arasındaki süre şirkete göre değişecektir.
Özellikle mesajlaşma sorunlarını giderirken bize masaüstünde yardımcı oluyor.
Bu yardımcı olur umarım
Düzenli olarak çeken ve bir haftadan altı aya kadar bir yere geri dönen insanlarımız var. Hesapları devre dışı bıraktığımızda, şu an doğasını hatırlayamadığım bir sorun vardı ... muhtemelen e-posta ile ilgili? Başka bir uyarı mı? Bunun yerine prosedürümüzü değiştirdik, böylece parola anlamsızlaştırmaya benzer bir şeye sıfırlanır ve durumu açıklayan açıklama alanına bir not yerleştirilir, böylece kullanıcı bilgilerini düzenleyen başka bir kişi bunu referans olarak bilir.
Hesap sonunda ne kadar mezun olursa olsun hesaptan çıkarılır.
O zaman ve oradaki hesabı silmek ... Bunun bir politika meselesi olduğunu söyleyebilirim, ancak bir yanlışlık veya durum değişikliği olması durumunda ayrılmanın da "güvenli oynamanın" yararı olur. Veya basitçe veriyi silmenin zararı var ve aniden birinin belirli dosyalara, bilgilere veya postalara, vb. Erişmesi gerekiyor ... ancak eski bilgileri geri yüklemek için politikalarınız varsa ve başka şeylerle idare edilebilir. Bizim için, hesabın kısımlarını bir süre daha tutmak gerekmeyecek, daha sonra ihtiyaç duyulmayacak, daha sonra biraz çaba ve baş ağrısı azalacak.