Active Directory: excluir versus desativar funcionários que partiram [fechado]

Quando eles desistirem, eles não voltarão normalmente. Não vejo razão para ficar com contas antigas. Aqui está o que fazemos:

Arquivos:

• Percorra a área de trabalho (Meus Documentos e Área de Trabalho normalmente) e arquive seus dados antigos no servidor de arquivos (apenas algumas unidades de 1 TB no RAID-5)
• Faça backup da pasta / user no servidor de arquivos comum para o arquivo morto também.

E-mails:

• Fazer backup de todos os seus e-mails (em pst ou apenas salvar sua caixa de correio, dependendo do sistema operacional) e colocá-lo em um cofre Lugar, colocar. Às vezes os gerentes precisam acesso a caixas de correio de ex-funcionários recuperar e-mails específicos.
• Se necessário, configuramos um email de encaminhamento para um conta gerente ou colegas de trabalho até não há mais emails chegando.

Desativamos as contas. Suas "descrições" são atualizadas para indicar a data da partida, e elas são movidas na hierarquia do AD para uma pasta, dependendo do estado de partida em que estão (+ email foi encaminhado para algum lugar, foi + pre-archive, arquivado).

Temos uma grande quantidade de arquivos complexos e hierarquias de pastas. Se você excluir a conta do Active Directory, e o arquivo / pasta com ACLs explícitas por usuário terá esses dados da ACL exibidos como um SID. E não encontrei nenhuma maneira de descobrir a partir de um SID qual conta costumava ser - porque a conta foi excluída.

Dessa forma, quando as pessoas observam problemas de propriedade / permissão que estão se comportando de forma estranha, podemos ver (e excluir) as propriedades e as permissões de pessoas que não estão mais presentes.

Atualizar, muito mais tarde: Aprendi com um colega que está passando por uma auditoria da Microsoft que as contas do seu AD exigem uma licença "por estação" (se você estiver oscilando dessa forma), seja ou não, eles são uma pessoa real e se a pessoa ainda está presente ou não. Portanto, há um argumento a ser feito para exclusão!

Aqui na minha casa de Higher Ed, temos uma política de desabilitar e manter por duas semanas.

• Quando sua conta for listada no Banner como "inativa", o processamento em lote da próxima noite disparará o processo Desativar.
  • Suas contas da Novell estão desativadas E uma restrição de tempo de login é implementada.
  • Suas contas do AD estão desativadas E uma restrição de tempo de login é implementada.
  • As contas do Exchange são configuradas com uma Restrição de Entrega para si mesmas, forçando todos os emails para essa conta a saltar (novo no Exchange 2007, contas desativadas ainda podem receber emails).
• Decorrem duas semanas, durante as quais os administradores podem lançar sinalizadores de retenção de dados. Nós lidamos com flocos de neve especiais durante este intervalo.
• Ao final de duas semanas, as contas, os diretórios de usuário e as caixas de correio são removidos.

Os gerentes que solicitam acesso aos dados do diretório do usuário recebem um CD, e não acesso direto. Muito freqüentemente, no passado, os gerentes apenas usavam o diretório do usuário como outro repositório de arquivos.

Os gerentes que solicitam acesso a e-mails recebem uma exportação de PST da caixa de correio e não acesso direto.

Os gerentes reclamam que o veterano de 20 anos do departamento era o único ponto de contato para uma determinada função crítica e, portanto, eles precisam manter o nome em volta de forma que os e-mails críticos não sejam devolvidos, mantenha suas mãos seguras. Tentamos colocar uma regra Fora do Escritório na caixa de correio desativada, informando que a pessoa saiu e, por favor, entre em contato com a Pessoa B. Em seguida, definimos uma data de exclusão difícil para essa conta adequadamente no futuro para garantir que o mundo saiba que a Pessoa A não está mais aqui. Nós NÃO colocamos esse endereço de e-mail em outra caixa de correio se pudermos ajudá-lo. Nem sempre somos bem sucedidos.

Às vezes, esse veterano de 20 anos era o principal assessor de uma área e, portanto, era um Delegado de praticamente todos que tinham um calendário que precisava ser gerenciado. Assim que uma conta desse tipo for desativada, qualquer pessoa que enviar um compromisso para os calendários gerenciados receberá mensagens de rejeição incomuns. A reativação temporária da conta interrompe as mensagens devolvidas enquanto a equipe da área de trabalho realiza a remoção manual dos delegados de todas as caixas de correio. Isso pode levar alguns dias para que a equipe da área de trabalho negocie com os proprietários desses calendários para entrar e fazer as configurações necessárias. A conta é novamente desativada e estará sujeita à exclusão usual de duas semanas. Este é um 'recurso' do Exchange que particularmente não gosto.

Não sou fã de excluir imediatamente uma conta do AD depois que um funcionário ou contratado sai da empresa. Descobri que é melhor desativar por pelo menos 30 dias e depois excluir as contas desativadas de 1 a 2 vezes por ano.

Existem alguns motivos pelos quais você não deseja excluir uma conta imediatamente:

1- Forense. Se a sua organização tiver necessidade de entrar com uma ação legal contra um funcionário ou contratado, você precisará da conta original (SID).

2- Tarefas Automatizadas - Usuários, especialmente trabalhadores de TI, tendem a configurar tarefas automatizadas para fazer trabalhos como executar trabalhos, automatizar relatórios, reciclar serviços, etc. Você vai ficar preso se excluir a conta do usuário antes de perceber havia tarefas ou tarefas complexas vinculadas aos ID's. Você não pode simplesmente recriar a conta com o mesmo nome porque o SID não será o mesmo e é isso que as tarefas automatizadas examinam, não o nome visível da conta.

Se você desabilitar primeiro, poderá sempre reativar a conta, alterar ou recuperar a senha e voltar às suas empresas até que o trabalho seja transferido para uma conta de serviço legítima.

Temos requisitos de auditoria bastante rigorosos, e muitas vezes são solicitados a provar que um usuário foi desativado e quando. Para lidar com isso, tendemos a desativar a conta quando nos dizem que eles saíram. Mova as contas desativadas para sua própria UO e atualize a descrição com a data em que elas foram deixadas (ela também é útil para nos permitir desativar pessoas que desaparecem por um período prolongado e reativá-las quando elas voltarem).

Depois de terem passado 6 meses, excluímo-los.

Se eles desaparecerem por mais de três meses, excluo as contas deles. Todos os nossos sistemas têm redirecionamento de área de trabalho e pasta imposto pelo GPO para Meus Documentos / Área de Trabalho, etc., portanto, após a exclusão, eu os arquivo no meu volume de arquivo no servidor de arquivos.

Eu sou pedante sobre o uso de grupos de segurança baseados em função em A / D para tudo, então não há usuários que tenham permissões para o sistema de arquivos ou qualquer outra coisa aplicada implicitamente, portanto não é importante excluir um usuário. Configurar isso exige um pouco de raciocínio e raciocínio - mas eu realmente recomendo que um faça isso, já que isso torna as permissões de gerenciamento em uma Rede Windows muito fácil.

Quanto à troca, eu exporte a caixa de correio com o ExMerge e coloque o arquivo .pst com a pasta arquivada, depois configure o encaminhamento ou devolva as mensagens dependendo da função da pessoa que deixou.

A política da universidade que frequentei e trabalhei é a seguinte:

Estudantes

• após a retirada
  • desativar conta
  • 30 dias depois, exclua se não se inscrever novamente
• graduação + 90 dias
  • desativar conta
  • crie endereço de encaminhamento "alum"
  • excluir 30 dias depois

Staff / Faculdade

• ao sair
  • desativar conta
  • excluir 30 dias depois

Pode haver um grande problema com a exclusão de contas de computador: lei.

Sob a Diretiva de Proteção de Dados da UE, alguns estados-membros (a Polônia em particular) exigem que você qualquer outra pessoa e, ao mesmo tempo, manter registro de quem e quando foi concedido o acesso e quando o acesso foi revogado.

Resumindo: se você lida com dados pessoais, pergunte melhor a um advogado / equipe jurídica.

Temos pessoas que saem rotineiramente e retornam de uma semana a seis meses depois. Quando desativamos as contas, tivemos alguns problemas que não me lembro a natureza do agora ... possivelmente e-mail relacionado? Algum outro aviso? Em vez disso, mudamos nosso procedimento para que a senha fosse redefinida para algo parecido com um jargão e uma nota fosse colocada no campo de descrição detalhando a situação, para que qualquer outra pessoa editando suas informações de usuário a conhecesse como referência.

A conta é finalmente lançada, não importa o que eles devem ter se formado.

Apagando a conta de vez em quando ... Eu diria que é uma questão de política, mas suspender também tem o benefício de "jogar pelo seguro" no caso de haver um erro ou uma mudança de situação. Ou há ramificação para simplesmente excluir os dados e, de repente, alguém precisa ter acesso a certos arquivos ou informações ou e-mails, etc ... mas isso pode ser feito por outros meios se você tiver políticas para restaurar informações antigas e outras coisas. Para nós, é mais fácil manter as partes da conta por perto até que esteja resolvido que não será mais necessário, reduz o esforço e a dor de cabeça mais tarde.

Se você fez backup de todos os dados deles, não vejo motivo para manter a conta do diretório ativo. No entanto, eu manteria sua conta de e-mail ativa e encaminhando o e-mail para outra pessoa, caso um cliente entre em contato com ela ou com outro associado.

Eu tenho dois clientes de consultoria dos quais eu costumava ser um funcionário em tempo integral. Meu número pessoal e tudo é o mesmo, e eu tenho certeza que eles nunca excluem contas do AD - eles apenas os desativam - quando eu voltei, eles simplesmente me restabeleceram.

O único problema que vejo é que todos os meus membros e acessos ao grupo que estão vinculados ao meu SID (apenas membros do grupo AD, eu acho) ainda estão lá, então se eu deveria voltar em uma capacidade reduzida, revisando essas associações seriam um passo crítico.

Em seguida, independentemente de você excluir ou recriar ou se você desabilitar e ativar, se o nome samaccount permanecer o mesmo, TODOS os outros sistemas que fazem referência a essa conta de usuário teriam que ser removidos.

Eu trabalho como técnico de suporte remoto (Elevated HelpDesk) para um utilitário de energia da Fortune 500. Devido à natureza do nosso negócio, temos todos os tipos de cenários, desde contratantes que vêm e vão até o veterano de 20 anos, conforme descrito acima. Pelo que vi, nossa política foi cortada e seca.

Todas as contas têm o número do último ticket, a data e o tipo de alteração no campo de descrição. Por exemplo. %código% Change Order 123456 Created on 00/00/00 by the access manager ou Terminated on 00/00/00

Imediatamente após a notificação de uma discrepância, o HelpDesk desativa a conta. Após a confirmação ou automaticamente após um tempo definido, o usuário se deslocará para a unidade organizacional e exibirá três tis e a data de término ( Re-enabled on 00/00/00 by Manager's Name ) no nome de exibição para permitir que tanto a TI quanto os usuários finais se identifiquem rapidamente. com a empresa.

Não posso fornecer informações sobre o que acontece com os dados. Eu não trabalho nesse departamento. Mas eu sei que depois de quase uma mariposa a conta desapareceu completamente.

Esses conceitos de dados e retenção, embora ainda protejam a organização de um funcionário insatisfeito, devem fazer parte das políticas de TI de qualquer organização. Mas o tempo entre cada etapa varia de acordo com a empresa.

Isso realmente nos ajuda na área de trabalho, especialmente ao solucionar problemas de mensagens.

Espero que isso ajude