Active Directory: elimina o disabilita i dipendenti partiti [chiuso]

32

Quando un dipendente lascia la tua organizzazione, elimini o disabiliti il ​​suo account di Active Directory? Il nostro SOP è disabilitare, esportare / eliminare la cassetta postale di Exchange e, dopo che è trascorso "un po 'di tempo" (di solito trimestrale), eliminare l'account.

C'è bisogno di quel ritardo? Dopo aver esportato ed eliminato la loro casella di posta, perché non dovrei eliminare l'account in quel momento?

active-directory  best-practices 
Matt Rogish
fonte

Risposte:

17

Una volta che hanno lasciato, non tornano di solito. Non vedo alcun motivo per aggrapparsi a vecchi account. Ecco cosa facciamo:

File:

  • Passa attraverso il loro desktop (I miei documenti e desktop di solito) e archivia i loro vecchi dati nel file server di archivio (solo alcune unità da 1 TB in RAID-5)
  • Eseguire il backup della cartella / utente sul normale file server anche su quello di archivio.

Messaggi di posta elettronica:

  • Eseguire il backup di tutte le loro e-mail (in pst o semplicemente salvare la loro casella di posta, a seconda del sistema operativo) e metterlo in un luogo sicuro. A volte i manager hanno bisogno dell'accesso alle cassette postali degli ex dipendenti per recuperare e-mail specifiche.
  • Se necessario, impostiamo un'e-mail inoltrata a un account gestore o colleghi fino a quando non arriva più posta.
dubRun
fonte
2
Mi piace la cosa in avanti
Matt Rogish,
-1 Ri: "Non vedo alcun motivo per aggrapparsi a vecchi conti" David Mackintosh ha dato una ragione perfettamente valida ...
Dscoduc,
2
Inoltre, non dimenticare di nascondere il loro nome dalla rubrica degli scambi
benPearce,
35

Disabilitiamo gli account. Le loro "descrizioni" vengono aggiornate per indicare la data della partenza e vengono spostate nella gerarchia AD in una cartella a seconda dello stato di partenza (andata + email inoltrata da qualche parte, andata + pre-archivio, archiviata).

Abbiamo una grande quantità di file complessi e gerarchie di cartelle. Se si elimina l'account da Active Directory e il file / la cartella con ACL espliciti per utente avranno quei dati ACL visualizzati come SID. E non ho trovato alcun modo per capire da un SID quale account era prima, perché l'account è stato eliminato.

In questo modo, quando le persone osservano problemi di proprietà / autorizzazioni che si comportano in modo strano, possiamo vedere (ed eliminare) le proprietà e le autorizzazioni delle persone che non sono più presenti.

Aggiornamento, molto più tardi: ho appreso da un collega che sta subendo un controllo da Microsoft che gli account nel tuo annuncio pubblicitario richiedono una licenza "per posto" (se stai oscillando in quel modo), indipendentemente dal fatto che siano una persona reale e se o non la persona è ancora presente. Quindi c'è un argomento da sollevare!

David Mackintosh
fonte
3
Buon punto con il SID su ACL espliciti
Matt Rogish,
2
Anche il mio manager usa questo argomento. Ad essere sincero, non sono favorevole alla disabilitazione degli account e preferirei eliminarli. Le migliori pratiche suggeriscono che non dovresti autorizzare esplicitamente gli utenti su ACL e se il SID viene visualizzato, perché non rimuoverlo?
fenster,
4
Perché le "Best Practices" non sempre accadono nel mondo reale, specialmente se hai utenti che si danno da fare con le autorizzazioni stesse. Lasciare il nome utente lì dentro significa che puoi cercare una persona responsabile e (farli) decidere cosa dovrebbe accadere ora che il defunto ha ... erm ... partito.
David Mackintosh,
2
Gli account disabilitati richiedono un cal? Non sembra giusto. Capisco gli account abilitati, ma davvero?
Jason Berg,
1
MS ha fornito dettagli sul perché fosse così? Ho sempre sentito che per utente era per persona, non per account utente.
David,
11

Qui al mio posto di Higher Ed abbiamo una politica di disabilitazione e conservazione per 2 settimane.

  • Quando il loro account viene elencato in Banner come "inattivo", l'elaborazione in batch della notte successiva interromperà il processo di disabilitazione.
    • I loro account Novell sono disabilitati E viene introdotta una limitazione del tempo di accesso.
    • I loro account AD sono disabilitati E viene introdotta una limitazione del tempo di accesso.
    • I loro account di Exchange sono impostati con una restrizione di consegna a se stessi, costringendo tutta la posta a quell'account a rimbalzare (nuovo con Exchange 2007, gli account disabilitati possono ancora ricevere posta).
  • Trascorrono due settimane, durante le quali i gestori possono lanciare flag di conservazione dei dati. Abbiamo a che fare con fiocchi di neve speciali durante questo intervallo.
  • Alla fine di due settimane vengono eliminati account, directory utenti e cassette postali.

Ai manager che richiedono l'accesso ai dati della directory utente viene assegnato un CD, non un accesso diretto. FAR troppo spesso in passato i manager usavano la directory utente come un altro archivio di file.

I manager che richiedono l'accesso alle e-mail ricevono un'esportazione PST della cassetta postale e non l'accesso diretto.

I manager si lamentano del fatto che il veterano del dipartimento di 20 anni è stato l'unico punto di contatto per una certa funzione critica, e quindi hanno bisogno di mantenere il nome in modo che le mail critiche non vengano rimbalzate, si tengano le mani. Cerchiamo di inserire una regola Fuori sede nella cassetta postale disabilitata in cui si afferma che la persona è partita e si prega di contattare invece la persona B. Quindi fissiamo una data di eliminazione definitiva per quell'account opportunamente lontana in futuro per assicurarci che il mondo sappia che la Persona A non è più qui. NON inseriamo quell'indirizzo e-mail su un'altra casella di posta se possiamo assolutamente aiutarlo. Non abbiamo sempre successo.

A volte quel veterano di 20 anni era il principale supporto del segretario per un'area, e quindi era un delegato di praticamente tutti con un calendario che doveva essere gestito. Non appena un account del genere viene disabilitato, chiunque invii un appuntamento ai calendari gestiti riceverà messaggi di rimbalzo insoliti. La riattivazione temporanea dell'account interrompe i messaggi di rimbalzo mentre il personale desktop passa e rimuove manualmente i delegati da tutte le cassette postali. Questo può richiedere un paio di giorni per il personale desktop per negoziare con i proprietari di detti calendari per entrare e fare le impostazioni necessarie. L'account viene quindi nuovamente disabilitato e sarà soggetto alla normale cancellazione di 2 settimane. Questa è una "caratteristica" di Exchange che in particolare non mi piace.

sysadmin1138
fonte
7

Non sono un fan dell'eliminazione immediata di un account AD dopo che un dipendente o un appaltatore lascia l'azienda. Ho scoperto che è meglio disabilitare per almeno 30 giorni e quindi eliminare gli account disabilitati 1-2 volte l'anno.

Ci sono un paio di motivi per cui non vuoi eliminare immediatamente un account:

1- Forensics. Se la tua organizzazione ha bisogno di perseguire un'azione legale contro un dipendente o un appaltatore, avrai bisogno dell'account originale (SID).

2- Attività automatizzate: gli utenti, in particolare i lavoratori IT, tendono a impostare attività automatizzate per pensare come eseguire lavori, automatizzare report, riciclare servizi, ecc. Sarai in difficoltà se elimini l'account utente prima di rendersi conto che c'erano complessi lavori o compiti legati agli ID. Non è possibile semplicemente ricreare l'account con lo stesso nome perché il SID non sarà lo stesso ed è ciò che le attività automatizzate osservano non il nome visibile dell'account.

Se disabiliti prima, puoi sempre riattivare l'account, modificare o ripristinare la password e le tue spalle fino a quando il lavoro non viene trasferito su un account di servizio legittimo.

4

Abbiamo requisiti di controllo piuttosto rigidi e spesso ci viene chiesto di dimostrare che un utente è stato disabilitato e quando. Per far fronte a questo tendiamo a disabilitare l'account quando ci viene detto che se ne sono andati. Spostare gli account disabilitati nella propria unità organizzativa e aggiornare la descrizione con la data che hanno lasciato (è utile anche per permetterci di disabilitare le persone che scompaiono per un periodo di tempo prolungato e riattivarle quando tornano).

Una volta trascorsi 6 mesi, li eliminiamo.

Mike1980
fonte
Quella data non può essere "giocata" o AD, all'interno, memorizza una data inattiva che non è facilmente modificabile dagli amministratori? Immagino che potresti guardare la data dell'ultima modifica ma se mai la tocchi perdi quella storia
Matt Rogish,
Potrebbe essere facilmente cambiato, per fortuna non è ancora arrivato :-) Se viene mai interrogato c'è sempre l'ultimo attributo modificato dell'oggetto utente che dovrebbe avere la stessa data della data nel campo descrizione per quando l'account è stato disabilitato .
Mike1980,
Ovviamente non c'è nulla che impedisca a un amministratore di cambiare la data sul DC, modificare l'account e cambiare la data precedente ... La scienza forense è davvero dura in questi giorni.
Chris S,
4

Se sono andati via per più di 3 mesi, cancello i loro account. Tutti i nostri sistemi dispongono di reindirizzamento del desktop e delle cartelle con oggetti Criteri di gruppo per Documenti / Desktop ecc., Quindi dopo l'eliminazione li archivio nel mio volume di archivio sul file server.

Sono pedante sull'utilizzo di gruppi di sicurezza basati sui ruoli su A / D per tutto, quindi non ci sono utenti che dispongono di autorizzazioni per il file system o qualsiasi altra cosa implicitamente applicata, quindi non c'è bisogno di eliminare un utente. L'impostazione richiede un po 'di pensiero e di grattacapi, ma lo consiglio vivamente, in quanto rende la gestione delle autorizzazioni su una rete Windows un gioco da ragazzi.

Per quanto riguarda lo scambio, esporto la cassetta postale con ExMerge e inserisco il .pst con la cartella archiviata, quindi installo l'inoltro o rimbalzo i messaggi a seconda del ruolo della persona che è rimasta.

ColtonCat
fonte
3

La politica all'università che ho frequentato e per cui ho lavorato è la seguente:

Studenti

  • al momento del ritiro
    • disabilitare account
    • 30 giorni dopo, elimina se non nuovamente iscritto
  • laurea + 90 giorni
    • disabilitare account
    • creare un indirizzo di inoltro "allume"
    • cancellare 30 giorni dopo

Staff / Facoltà

  • alla partenza
    • disabilitare account
    • cancellare 30 giorni dopo
conigliera
fonte
3

Ci può essere un grosso problema con l'eliminazione degli account dei computer: legge.

Ai sensi della Direttiva sulla protezione dei dati dell'UE alcuni Stati membri (in particolare la Polonia) non devono mai assegnare lo stesso ID utente a nessun altro e allo stesso tempo, tenere traccia di chi e quando è stato concesso l'accesso e quando l'accesso è stato revocato.

In breve: se si tratta di dati personali, è meglio chiedere a un avvocato / team legale.

Hubert Kario
fonte
Qualcuno ha una fonte per il requisito polacco? Non riesco a trovare questo requisito né nella Direttiva UE, né nella legislazione che attua la Direttiva per la Polonia o il Regno Unito.
Adam Thompson,
1
@AdamThompson: purtroppo non sono riuscito a trovarlo in inglese, ma eccolo in polacco: giodo.gov.pl/144/id_art/1002/j/pl (Dz. U. z 2004 r. Nr 100, poz. 1024 ) lo puoi trovare nell'Appendice A, § IV, punto 1: "Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.", google translate fa un lavoro decente.
Hubert Kario,
1
Correzione, li ho trovati qui: giodo.gov.pl/409/id_art/209/j/en
Hubert Kario
Mille grazie, Hubert. La mia lettura di questo suggerirebbe che non è possibile riutilizzare lo stesso account, ma la creazione di un nuovo account con lo stesso nome sarebbe OK. Il vecchio account "adam@example.com" sarebbe stato cancellato e forse più tardi, sarebbe stato creato un nuovo account "adam@example.com" - ma avrebbe un SID o UID diverso e sarebbe quindi un "Identyfikator" diverso / ID. Forse è una tesi per gli avvocati, anche se non so come funzionerebbe nel caso di un sistema legale di diritto civile (al contrario di quello comune).
Adam Thompson,
1
@AdamThompson: sono abbastanza sicuro che sia una lettura errata. Vedi II.2. "b) l'accesso ai dati è disponibile solo dopo aver inserito l'identificatore e l'autenticazione dell'utente." Non inserisci il SID / UID, inserisci il nome utente leggibile, quindi non puoi avere due utenti con "adam@example.com". Ora, se puoi creare più account che condividono lo stesso SID / UID ... che non conosco, ma probabilmente non è nemmeno permesso.
Hubert Kario,
2

Se hai eseguito il backup di tutti i loro dati, non vedo alcun motivo per mantenere l'account della directory attiva. Tuttavia , terrei il loro account e-mail attivo e inoltrarlo sulla loro e-mail a qualcun altro nel caso in cui un cliente li contatti o un altro associato.

Highstead
fonte
2

Ho due clienti di consulenza di cui ero un impiegato a tempo pieno. Il mio numero di personale e tutto è lo stesso, e sono abbastanza sicuro che non cancellano mai gli account AD - li disabilitano - quando sono tornato mi hanno appena ripristinato.

L'unico problema che vedo lì è che tutte le appartenenze e gli accessi al mio gruppo che sono legati al mio SID (solo appartenenze al gruppo AD, penso) sono ancora lì, quindi se dovessi tornare a una capacità ridotta, la revisione di tali appartenenze sarebbe essere un passo critico.

Quindi, indipendentemente dal fatto che si elimini e si crei nuovamente o che si disabiliti e si abiliti, se il nome account sam rimane lo stesso, TUTTI gli altri sistemi che fanno riferimento a tale account utente devono essere sottoposti a lavaggio.

Jason Kleban
fonte
2

Lavoro come tecnico di supporto remoto (Elevated HelpDesk) per una utility di energia di fortuna 500. Alla luce della natura della nostra attività, abbiamo tutti i tipi di scenari che vanno dagli appaltatori che vanno e vengono al veterano di 20 anni come descritto sopra. Da quello che ho visto la nostra politica è stata ridotta e prosciugata.

Tutti gli account hanno l'ultimo numero di biglietto, la data e il tipo di modifica nel campo della descrizione. Ad esempio Change Order 123456 Created on 00/00/00 by the access manager Terminated on 00/00/00oRe-enabled on 00/00/00 by Manager's Name

Immediatamente dopo la notifica di una discrepanza, l'HelpDesk disabilita l'account. Al momento della conferma o automaticamente dopo un determinato periodo di tempo, l'utente raggiunge l'unità organizzativa per gli account disabilitati e inserisce tre tilde e la data di scadenza ( ~~~00/00/00) sul nome visualizzato per consentire sia all'IT che agli utenti finali di identificare rapidamente a colpo d'occhio l'utente non è solo con l'azienda .

Non posso fornire informazioni su ciò che accade ai dati. Non lavoro in quel dipartimento. Ma so che dopo una falena l'account è andato completamente.

Questi concetti di dati e conservazione, pur proteggendo l'organizzazione da un dipendente scontento, dovrebbero far parte delle politiche IT di qualsiasi organizzazione. Ma il tempo tra una fase e l'altra varierà a seconda dell'azienda.

Ci aiuta davvero nel desktop soprattutto quando si risolvono problemi di messaggistica.

Spero che sia di aiuto

kokan90
fonte
1

Abbiamo persone che si ritirano abitualmente e poi ritornano da una settimana a sei mesi dopo. Quando avremmo disabilitato gli account, avremmo avuto qualche problema che non riesco a ricordare la natura di adesso ... possibilmente legato alla posta elettronica? Qualche altro avvertimento? Abbiamo invece modificato la nostra procedura in modo che la password venga reimpostata su qualcosa di simile a incomprensibile e una nota venga inserita nel campo della descrizione che dettaglia la situazione in modo che chiunque altro stia modificando le informazioni dell'utente lo sappia come riferimento.

L'account viene infine implementato, indipendentemente da ciò che una volta avrebbero dovuto diplomarsi.

Eliminare l'account allora e lì ... Direi che è una questione di politica, ma tenere fuori ha anche il vantaggio di "giocare in sicurezza" in caso di errore o cambiamento di situazione. Oppure c'è la ramificazione di eliminare semplicemente i dati e improvvisamente qualcuno ha bisogno di accedere a determinati file o informazioni o posta, ecc ... ma ciò può essere gestito con altri mezzi se si hanno politiche in atto per ripristinare vecchie informazioni e quant'altro. Per noi è solo più facile tenere in giro parti dell'account per un po 'fino a quando non viene stabilito che non sarà più necessario, riduce qualche sforzo e mal di testa in seguito.

Bart Silverstrim
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.