Active Directory: видалення та відключення відійшли співробітників [закрито]

Коли працівник залишає вашу організацію, ви видаляєте чи вимикаєте його обліковий запис Active Directory? Наш SOP полягає в тому, щоб вимкнути, експортувати / очистити поштову скриньку Exchange, а після закінчення "деякого часу" (як правило, щокварталу) видалити рахунок.

Чи є потреба в цій затримці? Після експорту та очищення своєї поштової скриньки, чому я не можу видалити обліковий запис прямо там і там?

Як тільки вони кинуть, вони зазвичай не повертаються. Я не бачу причин зациклюватися на старих акаунтах. Ось що ми робимо:

Файли:

• Пройдіть через їх робочий стіл (як правило, "Мої документи та робочий стіл") та заархівуйте свої старі дані на архіві файлового сервера (всього кілька накопичувачів 1 Тб в RAID-5)
• Створіть резервну копію папки / користувача на звичайному файловому сервері в архіві.

Електронні листи:

• Створіть резервну копію всіх своїх електронних листів (в pst або просто збережіть свою поштову скриньку, залежно від ОС) і поставте її в безпечне місце. Іноді менеджерам потрібен доступ до поштових скриньок колишніх співробітників для отримання конкретних електронних листів.
• Якщо потрібно, ми налаштовуємо електронний лист до облікового запису менеджера або колег, поки більше не надійде пошта.

Ми вимикаємо облікові записи. Їх "описи" оновлюються, щоб вказати дату відправлення, і вони переміщуються в ієрархії AD в папку залежно від того, в якому стані відправлення вони перебувають (відправлений + електронний лист, куди пересилається кудись, поїхав + попередній архів, заархівований).

У нас є велика кількість складних файлів та ієрархій папок. Якщо ви видалите обліковий запис з Active Directory, а у файлі / папці з явними ACL-адресами для кожного користувача дані ACL відображатимуться як SID. І я не знайшов жодного способу зрозуміти з SID, який обліковий запис раніше був - тому що обліковий запис було видалено.

Таким чином, коли люди переглядають проблеми власності / дозволів, які ведуть себе дивно, ми можемо побачити (і видалити) право власності та дозволи людей, яких більше немає.

Оновлення, набагато пізніше: я дізнався від колеги, який проходить аудит від Microsoft, що для облікових записів у вашій AD потрібна ліцензія "на місце" (якщо ви розмахуєте таким чином), чи є вони справжньою особою і чи не людина все ще присутня. Тож є аргумент, який потрібно зробити для видалення!

Тут, у моєму місці Вищого Еда, ми відключили та зберігаємо 2 тижні.

• Коли їхній обліковий запис буде зазначений у Банері як "неактивний", наступна ніч пакетна обробка буде вимкнена.
  • Їх облікові записи Novell вимкнено І встановлено обмеження на час входу.
  • Їх облікові записи AD вимкнено І встановлено обмеження на час входу.
  • Їх облікові записи Exchange встановлюються обмеженням доставки для себе, змушуючи всю пошту до цього облікового запису підстрибувати (нове з Exchange 2007, рахунки з обмеженими можливостями все ще можуть отримувати пошту).
• Мине два тижні, за цей час менеджери можуть кидати прапори для зберігання даних. Ми маємо справу зі спеціальними сніжинками протягом цього інтервалу.
• Після закінчення двох тижнів рахунки, каталоги та поштові скриньки очищаються.

Менеджерам, які вимагають доступу до даних каталогів користувачів, надається компакт-диск, а не прямий доступ. FAR занадто часто в минулому говорили, що менеджери просто використовують каталог користувачів як ще один файл файлів.

Менеджерам, які вимагають доступу до електронних листів, надається експорт PST поштової скриньки, а не прямий доступ.

Керівники скаржаться, що зазначений 20-річний ветеран кафедри був єдиною контактною точкою для певної критичної функції, і тому їм потрібно тримати ім'я навколо, щоб критичні листи не підстрибували, трималися за руки. Ми намагаємось поставити правило Out Of Office на відключену поштову скриньку, вказуючи, що ця людина пішла, і звертаємось замість до особи B. Потім ми встановимо жорстку дату видалення для цього облікового запису відповідним чином далеко в майбутньому, щоб переконатися, що світ знає, що Особи A більше немає. Ми не ставимо цю адресу електронної пошти на іншу поштову скриньку, якщо ми взагалі можемо допомогти. Ми не завжди успішні.

Іноді цей 20-річний ветеран був головною підтримкою секретаря для району, а тому був делегатом майже всіх, хто має календар, який потребує управління. Як тільки такий обліковий запис буде вимкнено, кожен, хто надсилає зустріч на керовані календарі, отримуватиме незвичайні повідомлення про відмов. Тимчасове повторне ввімкнення облікового запису зупиняє повідомлення відмов, коли співробітники робочого столу проходять і видаляють Делегати з усіх поштових скриньок. Це може зайняти кілька днів, щоб працівники робочого столу домовилися з власниками згаданих календарів, щоб увійти та зробити необхідні налаштування. Потім обліковий запис буде повторно вимкнено та буде підлягати звичайному двотижневому видаленню. Це одна особливість Exchange, яка мені особливо не подобається.

Я не прихильник негайно видаляти обліковий запис AD після того, як працівник чи підрядник покидає компанію. Я виявив, що найкраще відключити принаймні 30 днів, а потім видалити відключені облікові записи 1-2 рази на рік.

Є кілька причин, чому ви не хочете видалити обліковий запис негайно:

1- Криміналістика. Якщо у вашій організації є необхідність вести судові дії проти працівника чи підрядника, вам знадобиться оригінальний рахунок (SID).

2- Автоматизовані завдання. Користувачі, особливо ІТ-працівники, як правило, налаштовують автоматизовані завдання, щоб виконувати такі думки, як запуск завдань, автоматизація звітів, переробка служб і т. Д. Ви будете зобов’язані, якщо ви видалите обліковий запис користувача до того, як зрозуміли, що існує складний завдання або завдання, пов'язані з посвідченнями особи. Ви не можете просто відтворити обліковий запис з тим самим іменем, оскільки SID не буде однаковим, і це те, на що автоматичні завдання дивляться не на видиме ім’я облікового запису.

Якщо ви відключите спочатку, ви завжди можете повторно ввімкнути акаунт, змінити або відновити пароль і повернути свою справу доти, доки робота не буде переведена на законний обліковий запис служби.

У нас досить жорсткі вимоги до аудиту, і їх часто просять довести, що користувач був відключений і коли. Щоб вирішити це, ми, як правило, вимикаємо обліковий запис, коли нам кажуть, що вони пішли. Перемістіть облікові записи з обмеженими можливостями до їх власного ОУ та оновіть опис із датою, яку вони залишили (це також стане в нагоді для того, щоб ми відключали людей, які зникають на тривалий період часу, і повторно включати їх, коли вони повертаються).

Після того, як вони пройшли протягом 6 місяців, ми видаляємо їх.

Якщо їх немає більше 3 місяців, я видаляю їхні акаунти. У всіх наших системах встановлено перенаправлення робочого столу та папок для моїх документів / робочого столу тощо, тому після видалення я заархівував їх до мого архіву на файловому сервері.

Я пенічно використовую групи безпеки на основі ролей на A / D для всього, тому немає користувачів, які мають дозволи до файлової системи або будь-якого іншого, що неявно застосовано, тому жодного великого не видаляти користувача. Якщо налаштувати це, потрібно трохи подумати і подряпати голову - але я дуже рекомендую це зробити, оскільки це робить дозвіл на керування дозволами в Мережі Windows чинністю.

Що стосується обміну, я експортую поштову скриньку за допомогою ExMerge і розміщую .pst із заархівованою папкою, після чого налаштовую переадресацію чи відмов повідомлення в залежності від ролі особи, яка залишилась.

Політика в університеті, в якому я відвідував і працював, така:

Студенти

• після виведення
  • вимкнути обліковий запис
  • Через 30 днів видаліть, якщо не повторно зарахувались
• випускний + 90 днів
  • вимкнути обліковий запис
  • створити адресу для переадресації "випускник"
  • видалити через 30 днів

Персонал / факультет

• при виході
  • вимкнути обліковий запис
  • видалити через 30 днів

З видаленням облікових записів на комп’ютері може виникнути дуже велика проблема: закон.

Відповідно до Директиви про захист даних ЄС, деякі держави-члени (зокрема Польща) вимагають ніколи не призначати один і той самий ідентифікатор користувача нікому іншому, і в той же час вести журнал того, кому і коли було надано доступ та коли скасовано доступ.

Якщо коротко: якщо ви маєте справу з особистими даними, краще попросіть адвоката / юридичну команду.

Якщо ви створили резервну копію всіх їх даних, я не бачу причин зберігати активний обліковий запис каталогу. Однак я б підтримував їх обліковий запис електронної пошти активним і пересилав їх електронною поштою іншому, якщо клієнт зв’яжеться з ними або іншим партнером.

У мене є два клієнта-консультанта, з яких я був штатним працівником. Мій персонал і все те саме, і я впевнений, що вони ніколи не видаляють акаунти AD - вони просто відключають їх - коли я повернувся, вони мене знову відновили.

Єдине питання, яке я бачу там, - це те, що всі мої групи та доступ, які пов'язані з моїм SID (я думаю, що лише членство в групі AD), все ще є, тож якщо я повинен був повернутися в обмеженій якості, перегляд цих членств бути критичним кроком.

Тоді, незалежно від того, ви видаляєте та відтворюєте чи відключаєте та вмикаєте, якщо ім'я власного рахунку залишається таким же, ВСІ інші системи, що посилаються на цей обліковий запис користувача, повинні були бути очищені.

Я працюю технікою віддаленої служби підтримки (Elevated HelpDesk) для енергетичної утиліти fortune 500. Зважаючи на характер нашого бізнесу, у нас є всі типи сценаріїв, починаючи від підрядників, які приходять і переходять до 20-річного ветерана, як описано вище. З того, що я бачив, наша політика вирізається сухим.

Усі облікові записи мають останній номер квитка та дату та тип змін у полі опису. Наприклад, Change Order 123456 Created on 00/00/00 by the access manager Terminated on 00/00/00абоRe-enabled on 00/00/00 by Manager's Name

Відразу після повідомлення про невідповідність HelpDesk вимикає обліковий запис. Після підтвердження або автоматично по закінченню часу користувача рахунків інвалідів OU і оголошення три тильди і дата закінчення ( ~~~00/00/00) на ім'я дисплея , щоб ІТ і кінцеві користувач швидко визначити з першим поглядом користувач не одинак з компанією .

Я не можу надати інформацію про те, що відбувається з даними. Я не працюю в цьому відділі. Але я знаю, що приблизно через міль міль рахунок не втрачається.

Ці поняття даних та збереження, захищаючи організацію від незадоволеного працівника, повинні бути частиною інформаційної політики будь-якої організації. Але час між кожним кроком буде залежати від компанії.

Це насправді допомагає нам у робочому столі, особливо при усуненні проблем з повідомленнями.

Сподіваюся, це допомагає

У нас є люди, які звичайно виходять, потім повертаються кудись від тижня до шести місяців. Коли ми відключили облікові записи, у нас виникла проблема, яку я не можу пригадати, яку природу зараз ... можливо, пов’язано з електронною поштою? Ще якесь попередження? Натомість ми змінили нашу процедуру, щоб пароль було скинуто на щось подібне до гнучкості, і в поле опису міститься примітка, яка детально описує ситуацію, щоб хтось, хто редагував їх інформацію про користувача, знав це для ознайомлення.

Врешті-решт рахунок розгортається незалежно від того, що після того, як вони повинні закінчити навчання.

Видалення облікового запису тут і там ... Я б сказав, що це питання політики, але утримування також має перевагу "відіграти його в безпеці" у випадку помилки чи зміни ситуації. Або є розгалуження для простого видалення даних, і раптом комусь потрібен доступ до певних файлів, інформації або пошти тощо ..., але це може бути вирішено іншими засобами, якщо у вас є політика щодо відновлення старої інформації та чого іншого. Для нас просто легше тримати частину облікового запису на деякий час, поки це не вирішиться, що це більше не буде потрібно, зменшує трохи зусиль і головний біль згодом.