Active Directory: Löschen oder Deaktivieren verstorbener Mitarbeiter [geschlossen]

32

Wenn ein Mitarbeiter Ihre Organisation verlässt, löschen oder deaktivieren Sie sein Active Directory-Konto? Unsere SOP besteht darin, das Exchange-Postfach zu deaktivieren, zu exportieren / zu bereinigen und dann, nachdem "einige Zeit" verstrichen ist (normalerweise vierteljährlich), das Konto zu löschen.

Gibt es eine Notwendigkeit für diese Verzögerung? Warum sollte ich das Konto nach dem Exportieren und Löschen des Postfachs nicht sofort löschen?

active-directory best-practices Matt Rogish
quelle

Antworten:

17

Sobald sie aufhören, kommen sie normalerweise nicht mehr zurück. Ich sehe keinen Grund, an alten Konten festzuhalten. Folgendes machen wir:

Dateien:

  • Durchsuchen Sie ihren Desktop (normalerweise "Eigene Dateien" und "Desktop") und archivieren Sie ihre alten Daten auf dem Archivdateiserver (nur einige 1-TB-Laufwerke in RAID-5).
  • Sichern Sie auch den Ordner / user auf dem regulären Dateiserver im Archiv.

Emails:

  • Sichern Sie alle ihre E-Mails (entweder in pst oder speichern Sie einfach ihre Mailbox, je nach Betriebssystem) und bewahren Sie sie an einem sicheren Ort auf. Manchmal benötigen Manager Zugriff auf Postfächer ehemaliger Mitarbeiter, um bestimmte E-Mails abzurufen.
  • Bei Bedarf richten wir eine E-Mail-Weiterleitung an einen Manager oder ein Mitarbeiterkonto ein, bis keine E-Mail mehr eingeht.
dubRun
quelle
2
Ich mag die Vorwärtssache
Matt Rogish
-1 Betreff: "Ich sehe keinen Grund, an alten Konten
festzuhalten"
2
Vergessen Sie auch nicht, ihren Namen aus dem Adressbuch der Börse zu verstecken
benPearce
35

Wir deaktivieren die Konten. Ihre "Beschreibungen" werden aktualisiert, um das Datum der Abreise anzugeben, und sie werden in der AD-Hierarchie in einen Ordner verschoben, je nachdem, in welchem ​​Abfahrtszustand sie sich befinden (gegangen + E-Mail-Weiterleitung, gegangen + Vorarchivierung, archiviert).

Wir haben eine große Menge komplexer Dateien und Ordnerhierarchien. Wenn Sie das Konto aus Active Directory löschen, werden in Dateien / Ordnern mit expliziten benutzerspezifischen ACLs diese ACL-Daten als SID angezeigt. Und ich habe keine Möglichkeit gefunden, anhand einer SID herauszufinden, um welches Konto es sich handelte - weil das Konto gelöscht wurde.

Auf diese Weise können Personen, die sich auf seltsame Weise mit Eigentums- / Berechtigungsproblemen befassen, die Eigentumsrechte und Berechtigungen von Personen anzeigen (und löschen), die nicht mehr anwesend sind.

Update, viel später: Ich habe von einem Kollegen erfahren, der gerade eine Prüfung von Microsoft durchführt, dass Konten in Ihrer AD eine Lizenz "pro Arbeitsplatz" erfordern (wenn Sie auf diese Weise schwingen), ob es sich um eine reale Person handelt und ob oder nicht nicht die Person ist noch anwesend. Es gibt also ein Argument für die Löschung!

David Mackintosh
quelle
3
Guter Punkt mit der SID auf expliziten ACLs
Matt Rogish
2
Mein Manager verwendet dieses Argument ebenfalls. Um ehrlich zu sein, bin ich nicht dafür, nur Konten zu deaktivieren und möchte sie lieber löschen. Nach bewährten Methoden sollten Sie Benutzern keine expliziten Berechtigungen für ACLs erteilen. Wenn die SID nur angezeigt wird, entfernen Sie sie dann.
fenster
4
Weil "Best Practices" nicht immer in der realen Welt vorkommen, insbesondere wenn Benutzer selbst mit Berechtigungen herumspielen. Wenn Sie den Benutzernamen dort belassen, können Sie eine verantwortliche Person suchen und entscheiden, was passieren soll, wenn der Verstorbene ... ähm ... verstorben ist.
David Mackintosh
2
Deaktivierte Konten erfordern einen Anruf? Das scheint nicht richtig zu sein. Ich verstehe aktivierte Konten, aber wirklich?
Jason Berg
1
Haben die Mitgliedstaaten Einzelheiten dazu angegeben, warum dies der Fall war? Ich habe immer gehört, dass pro Benutzer pro Person und nicht pro Benutzerkonto.
David
11

Hier bei mir bei Higher Ed haben wir eine Deaktivierungs- und Aufbewahrungsfrist von 2 Wochen.

  • Wenn ihr Konto in Banner als "inaktiv" aufgeführt wird, wird die Stapelverarbeitung der nächsten Nacht den Deaktivierungsprozess auslösen.
    • Ihre Novell-Konten sind deaktiviert UND es wurde eine Beschränkung für die Anmeldezeit eingeführt.
    • Ihre AD-Konten sind deaktiviert UND es wurde eine Beschränkung für die Anmeldezeit eingeführt.
    • Ihre Exchange-Konten sind mit einer Zustellungsbeschränkung für sich selbst festgelegt, sodass alle E-Mails an dieses Konto abgewiesen werden (neu in Exchange 2007 können deaktivierte Konten weiterhin E-Mails empfangen).
  • Es vergehen zwei Wochen, in denen Manager Datenaufbewahrungsflags setzen können. In dieser Zeit beschäftigen wir uns mit speziellen Schneeflocken.
  • Nach Ablauf von zwei Wochen werden Konten, Benutzerverzeichnisse und Postfächer gelöscht.

Manager, die Zugriff auf Benutzerverzeichnisdaten anfordern, erhalten eine CD und keinen direkten Zugriff. Zu oft in der Vergangenheit besagten Manager, dass sie nur das Benutzerverzeichnis als weiteren Dateispeicher verwenden.

Manager, die Zugriff auf E-Mails anfordern, erhalten einen PST-Export des Postfachs und keinen direkten Zugriff.

Manager, die sich beschwerten, dass der 20-jährige Veteran der Abteilung der einzige Ansprechpartner für eine bestimmte kritische Funktion war, und daher den Namen beibehalten müssen, damit kritische E-Mails nicht zurückgeworfen, sondern in die Hände genommen werden. Wir versuchen, eine Abwesenheitsregel für das deaktivierte Postfach zu erstellen, die besagt, dass die Person das Postfach verlassen hat. Wenden Sie sich stattdessen an Person B. Wir haben dann ein hartes Löschdatum für dieses Konto festgelegt, um sicherzustellen, dass die Welt weiß, dass Person A nicht mehr hier ist. Wir werden diese E-Mail-Adresse NICHT in eine andere Mailbox schreiben, wenn wir Ihnen helfen können. Wir sind nicht immer erfolgreich.

Manchmal war dieser 20-jährige Veteran die wichtigste Sekretärin für ein Gebiet und daher ein Delegierter von so ziemlich jedem, der einen Kalender hatte, der verwaltet werden musste. Sobald ein solches Konto deaktiviert wird, erhält jeder, der einen Termin an die verwalteten Kalender sendet, ungewöhnliche Unzustellbarkeitsnachrichten. Durch die vorübergehende erneute Aktivierung des Kontos werden die Unzustellbarkeitsnachrichten gestoppt, während die Desktop-Mitarbeiter die Delegierten von Hand aus allen Postfächern entfernen. Es kann einige Tage dauern, bis die Desktop-Mitarbeiter mit den Eigentümern der genannten Kalender verhandelt haben, um die erforderlichen Einstellungen vorzunehmen. Das Konto wird dann wieder deaktiviert und nach 2 Wochen gelöscht. Dies ist eine "Funktion" von Exchange, die ich besonders nicht mag.

sysadmin1138
quelle
7

Ich bin kein Fan davon, ein AD-Konto sofort zu löschen, nachdem ein Mitarbeiter oder Auftragnehmer das Unternehmen verlassen hat. Ich habe festgestellt, dass es am besten ist, mindestens 30 Tage lang zu deaktivieren und dann die deaktivierten Konten 1-2 Mal pro Jahr zu löschen.

Es gibt mehrere Gründe, warum Sie ein Konto nicht sofort löschen möchten:

1- Forensik. Wenn Ihre Organisation rechtliche Schritte gegen einen Mitarbeiter oder Auftragnehmer einleiten muss, benötigen Sie das Originalkonto (SID).

2- Automatisierte Aufgaben - Benutzer, insbesondere IT-Mitarbeiter, richten in der Regel automatisierte Aufgaben ein, um beispielsweise Jobs auszuführen, Berichte zu automatisieren, Dienste zu recyceln usw. Sie werden gebunden, wenn Sie das Benutzerkonto löschen, bevor Sie feststellen, dass es komplex ist Jobs oder Aufgaben, die an die IDs gebunden sind. Sie können das Konto nicht einfach mit demselben Namen neu erstellen, da die SID nicht dieselbe ist und bei den automatisierten Aufgaben nicht der sichtbare Name des Kontos angezeigt wird.

Wenn Sie diese Option zuerst deaktivieren, können Sie das Konto jederzeit wieder aktivieren, das Kennwort ändern oder wiederherstellen und wieder in Betrieb gehen, bis Sie den Auftrag auf ein legitimes Dienstkonto übertragen bekommen.


quelle
4

Wir haben ziemlich strenge Prüfungsanforderungen und werden oft gebeten zu beweisen, dass ein Benutzer deaktiviert war und wann. Aus diesem Grund wird das Konto in der Regel deaktiviert, wenn wir erfahren, dass sie das Unternehmen verlassen haben. Verschieben Sie die deaktivierten Konten in ihre eigene Organisationseinheit und aktualisieren Sie die Beschreibung mit dem Datum, an dem sie noch verfügbar sind (dies ist auch nützlich, wenn wir Personen deaktivieren möchten, die für einen längeren Zeitraum verschwunden sind, und sie bei ihrer Rückkehr wieder aktivieren möchten).

Sobald sie für 6 Monate gegangen sind, löschen wir sie.

Mike1980
quelle
Kann dieses Datum nicht "gespielt" werden oder speichert AD ein inaktives Datum, das von Admins nicht einfach bearbeitet werden kann? Sie könnten sich das Datum der letzten Änderung ansehen, aber wenn Sie es jemals berühren, verlieren Sie diese Historie
Matt Rogish
Es könnte ziemlich leicht geändert werden, zum Glück ist es noch nicht aufgetaucht :-) Wenn es jemals abgefragt wurde, gibt es immer das zuletzt geänderte Attribut des Benutzerobjekts, das dasselbe Datum haben sollte wie das Datum im Beschreibungsfeld, an dem das Konto deaktiviert wurde .
Mike1980
Natürlich hindert nichts einen Admin daran, das Datum auf dem DC zu ändern, das Konto zu ändern und das Datum zurück zu ändern ... Die Forensik ist heutzutage wirklich schwierig.
Chris S
4

Wenn sie länger als 3 Monate weg sind, lösche ich ihre Konten. Alle unsere Systeme verfügen über eine GPO-erzwungene Desktop- und Ordnerumleitung für "Eigene Dateien / Desktop" usw. Nach dem Löschen archiviere ich diese auf meinem Archivvolume auf dem Dateiserver.

Ich bin pedantisch, wenn es darum geht, rollenbasierte Sicherheitsgruppen für A / D für alles zu verwenden. Es gibt also keine Benutzer, die Berechtigungen für das Dateisystem haben oder irgendetwas anderes, das implizit angewendet wird. Das Einrichten erfordert einige Überlegungen und ein wenig Kopfzerbrechen. Ich empfehle jedoch, dies zu tun, da das Verwalten von Berechtigungen in einem Windows-Netzwerk damit zum Kinderspiel wird.

Für den Austausch exportiere ich das Postfach mit ExMerge und speichere die PST-Datei im archivierten Ordner. Anschließend richte ich die Weiterleitung oder die Weiterleitung von Nachrichten ein, je nach der Rolle der Person, die noch übrig ist.

ColtonCat
quelle
3

An der Universität, an der ich studiert habe und für die ich gearbeitet habe, gelten folgende Richtlinien:

Studenten

  • beim Abheben
    • Konto deaktivieren
    • 30 Tage später löschen, falls nicht erneut registriert
  • Abschluss + 90 Tage
    • Konto deaktivieren
    • Weiterleitungsadresse "Alaun" erstellen
    • 30 Tage später löschen

Mitarbeiter / Fakultät

  • beim Verlassen
    • Konto deaktivieren
    • 30 Tage später löschen
Labyrinth
quelle
3

Beim Löschen von Computerkonten kann ein sehr großes Problem auftreten: das Gesetz.

Nach der EU- Datenschutzrichtlinie schreiben einige Mitgliedstaaten (insbesondere Polen) vor, niemals dieselbe Benutzer-ID anderen Personen zuzuweisen und gleichzeitig zu protokollieren, wem und wann der Zugriff gewährt wurde und wann der Zugriff widerrufen wurde.

Kurz gesagt: Wenn Sie mit personenbezogenen Daten arbeiten, wenden Sie sich an einen Anwalt / eine Rechtsabteilung.

Hubert Kario
quelle
Hat jemand eine Quelle für die polnische Anforderung? Ich kann diese Anforderung weder in der EU-Richtlinie noch in den Rechtsvorschriften zur Umsetzung der Richtlinie für Polen oder das Vereinigte Königreich finden.
Adam Thompson
1
@AdamThompson: Leider konnte ich es nicht auf Englisch finden, aber hier ist es auf Polnisch: giodo.gov.pl/144/id_art/1002/j/pl (Dz. U. z 2004 r. Nr. 100, poz. 1024 ) finden Sie in Anhang A § IV Nummer 1: "Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie."
Hubert Kario
1
Korrektur, ich fand sie hier: giodo.gov.pl/409/id_art/209/j/en
Hubert Kario
Vielen Dank, Hubert. Meines Erachtens würde dies bedeuten, dass Sie nicht dasselbe Konto wiederverwenden können, aber das Erstellen eines neuen Kontos mit demselben Namen wäre in Ordnung. Das alte Konto "[email protected]" würde gelöscht und möglicherweise später ein neues Konto "[email protected]" erstellt. Es hätte jedoch eine andere SID oder UID und wäre daher ein anderer "Identyfikator". / ICH WÜRDE. Vielleicht müssen sich die Anwälte darüber streiten, obwohl ich mir nicht sicher bin, wie das im Falle einer Zivilrechtsordnung (im Gegensatz zu einer Rechtsordnung nach allgemeinem Recht) funktionieren würde.
Adam Thompson
1
@AdamThompson: Ich bin mir ziemlich sicher, dass das eine falsche Lesart ist. Siehe II.2. "b) Der Zugriff auf Daten ist erst nach Eingabe der Kennung und der Benutzerauthentifizierung möglich." Sie geben die SID / UID nicht ein, Sie geben den von Menschen lesbaren Benutzernamen ein, so dass Sie keine zwei Benutzer mit "[email protected]" haben können. Nun, wenn Sie mehrere Konten erstellen können, die dieselbe SID / UID haben ... die ich nicht kenne, die aber wahrscheinlich auch nicht erlaubt ist.
Hubert Kario
2

Wenn Sie alle Daten gesichert haben, sehe ich keinen Grund, das Active Directory-Konto beizubehalten. Allerdings würde ich ihre E - Mail - Konto aktiv und vorwärts auf ihre E - Mail an jemanden halten sonst einhüllen Kunde Kontakt sie oder ein anderer Mitarbeiter.

Highstead
quelle
2

Ich habe zwei Beratungskunden, bei denen ich hauptberuflich beschäftigt war. Meine Personalnummer und alles ist gleich, und ich bin mir ziemlich sicher, dass sie niemals AD-Konten löschen - sie deaktivieren sie einfach - als ich zurückkam, haben sie mich einfach wieder eingestellt.

Das einzige Problem, das ich dort sehe, ist, dass alle meine Gruppenmitgliedschaften und Zugriffe, die mit meiner SID verknüpft sind (ich glaube nur AD-Gruppenmitgliedschaften), immer noch vorhanden sind. Wenn ich also mit reduzierter Kapazität zurückkommen sollte, würde ich diese Mitgliedschaften überprüfen ein kritischer Schritt sein.

Unabhängig davon, ob Sie löschen und neu erstellen oder ob Sie deaktivieren und aktivieren, müssen ALLE anderen Systeme, die auf dieses Benutzerkonto verweisen, gelöscht werden, wenn der Name des Sama-Kontos unverändert bleibt.

Jason Kleban
quelle
2

Ich arbeite als Remote-Support-Techniker (Elevated HelpDesk) für ein Fortune 500-Energieversorgungsunternehmen. Als Teil unseres Geschäfts haben wir alle Arten von Szenarien, angefangen von Auftragnehmern, die zu dem 20-jährigen Veteranen kommen und gehen, wie oben beschrieben. Nach dem, was ich gesehen habe, ist unsere Politik verkürzt und trocken.

Alle Konten haben die letzte Ticketnummer sowie Datum und Art der Änderung im Beschreibungsfeld. ZB Change Order 123456 Created on 00/00/00 by the access manager Terminated on 00/00/00oderRe-enabled on 00/00/00 by Manager's Name

Unmittelbar nach Bekanntwerden einer Diskrepanz deaktiviert der HelpDesk das Konto. Bei Bestätigung oder automatisch nach einer festgelegten Zeit setzt der Benutzer die OU für deaktivierte Konten auf und fügt drei Tilden und das Kündigungsdatum ( ~~~00/00/00) in den Anzeigenamen ein, damit sich sowohl IT- als auch Endbenutzer schnell auf einen Blick identifizieren können. Der Benutzer ist kein Einzelgänger im Unternehmen .

Ich kann keine Informationen darüber geben, was mit den Daten passiert. Ich arbeite nicht in dieser Abteilung. Aber ich weiß, dass der Account nach einer Motte komplett verschwunden ist.

Diese Konzepte der Daten- und Aufbewahrung, bei denen die Organisation dennoch vor einem verärgerten Mitarbeiter geschützt wird, sollten Teil der IT-Richtlinien einer Organisation sein. Die Zeit zwischen den einzelnen Schritten ist jedoch von Unternehmen zu Unternehmen unterschiedlich.

Es hilft uns wirklich beim Desktop, insbesondere bei der Behebung von Messaging-Problemen.

Hoffe das hilft

kokan90
quelle
1

Wir haben Leute, die sich routinemäßig zurückziehen und dann zwischen einer Woche und sechs Monaten später zurückkehren. Bei der Deaktivierung der Konten gab es ein Problem, an das ich mich nicht erinnern kann ... möglicherweise im Zusammenhang mit E-Mails? Noch eine Warnung? Stattdessen haben wir unsere Vorgehensweise geändert, sodass das Passwort auf eine Art Kauderwelsch zurückgesetzt wird und eine Notiz in das Beschreibungsfeld eingefügt wird, in der die Situation genau beschrieben wird, damit alle anderen Benutzer, die ihre Benutzerinformationen bearbeiten, sie als Referenz kennen.

Das Konto wird schließlich unabhängig von dem Zeitpunkt, zu dem sie ihren Abschluss haben sollen, ausgerollt.

Hin und wieder das Konto löschen ... Ich würde sagen, es ist eine Angelegenheit der Politik, aber das Zurückhalten hat auch den Vorteil, auf Nummer sicher zu gehen, falls es einen Fehler gibt oder sich die Situation ändert. Oder es hat Auswirkungen auf das einfache Löschen der Daten, und plötzlich muss jemand auf bestimmte Dateien oder Informationen oder E-Mails zugreifen können. Für uns ist es nur einfacher, Teile des Kontos für eine Weile zu behalten, bis feststeht, dass es nicht mehr benötigt wird, und später weniger Aufwand und Kopfschmerzen verursacht.

Bart Silverstrim
quelle