Active Directory: xóa so với vô hiệu hóa nhân viên đã rời đi [đã đóng]


32

Khi một nhân viên rời khỏi tổ chức của bạn, bạn có xóa hoặc vô hiệu hóa tài khoản Active Directory của họ không? SOP của chúng tôi là vô hiệu hóa, xuất / xóa hộp thư Exchange và sau đó sau khi "một thời gian" đã hết (thường là hàng quý), hãy xóa tài khoản.

Có cần sự chậm trễ đó không? Sau khi xuất và xóa hộp thư của họ, tại sao tôi không nên xóa tài khoản ngay lúc đó?

Câu trả lời:


17

Một khi họ bỏ cuộc, họ sẽ không quay lại thường xuyên. Tôi thấy không có lý do để treo lên các tài khoản cũ. Đây là những gì chúng tôi làm:

Các tập tin:

  • Đi qua máy tính để bàn của họ (Tài liệu của tôi và Máy tính để bàn thường) và lưu trữ dữ liệu cũ của họ vào máy chủ lưu trữ tệp (chỉ một vài ổ 1tb trong RAID-5)
  • Sao lưu thư mục / người dùng của họ trên máy chủ tệp thông thường vào kho lưu trữ.

Email:

  • Sao lưu tất cả các email của họ (trong pst hoặc chỉ lưu hộp thư của họ, tùy thuộc vào HĐH) và đặt nó ở nơi an toàn. Đôi khi người quản lý cần truy cập vào hộp thư của nhân viên cũ để lấy email cụ thể.
  • Nếu cần, chúng tôi sẽ thiết lập một email chuyển tiếp đến tài khoản của người quản lý hoặc đồng nghiệp cho đến khi không còn thư nào được gửi đến nữa.

2
Tôi thích điều phía trước
Matt Rogish

-1 Re: "Tôi thấy không có lý do gì để treo vào tài khoản cũ" Một lý do hoàn toàn chính đáng được đưa ra bởi David
Mackffy

2
Cũng đừng quên ẩn tên của họ khỏi sổ địa chỉ trao đổi
benPearce

35

Chúng tôi vô hiệu hóa các tài khoản. "Mô tả" của họ được cập nhật để chỉ ra ngày khởi hành và họ được chuyển trong hệ thống phân cấp AD vào một thư mục tùy thuộc vào trạng thái khởi hành của họ (đi + email được chuyển đi đâu đó, đi + lưu trữ trước, lưu trữ).

Chúng tôi có một số lượng lớn các tập tin phức tạp và phân cấp thư mục. Nếu bạn xóa tài khoản khỏi Active Directory và tệp / thư mục có ACL cho mỗi người dùng rõ ràng sẽ có dữ liệu ACL đó được hiển thị dưới dạng SID. Và tôi đã không tìm thấy bất kỳ cách nào để tìm ra từ một SID tài khoản mà nó đã từng là - bởi vì tài khoản đã bị xóa.

Bằng cách này khi mọi người đang xem xét các vấn đề về quyền sở hữu / quyền đang hành xử kỳ quặc, chúng ta có thể thấy (và xóa) quyền sở hữu và quyền của những người không còn hiện diện.

Cập nhật, rất lâu sau: Tôi đã học được từ một đồng nghiệp đang thực hiện kiểm toán từ Microsoft rằng các tài khoản trong AD của bạn yêu cầu giấy phép "mỗi chỗ ngồi" (nếu bạn đang xoay theo cách đó), cho dù họ có phải là người thật hay không không phải là người vẫn còn hiện diện Vì vậy, có một đối số được đưa ra để xóa!


3
Điểm hay với SID trên ACL rõ ràng
Matt Rogish

2
Người quản lý của tôi cũng sử dụng lập luận này. Thành thật mà nói, tôi không ủng hộ việc vô hiệu hóa các tài khoản và muốn xóa chúng. Thực tiễn tốt nhất cho thấy bạn không nên cấp phép rõ ràng cho người dùng trên ACL và nếu SID chỉ hiển thị, tại sao không xóa nó?
fenster

4
Bởi vì "Thực tiễn tốt nhất" không phải lúc nào cũng xảy ra trong thế giới thực, đặc biệt là nếu bạn có người dùng tự loay hoay với quyền. Để lại tên người dùng trong đó có nghĩa là bạn có thể tìm kiếm một người có trách nhiệm và (có họ) quyết định điều gì sẽ xảy ra ngay bây giờ khi người ra đi đã ... erm ... đã rời đi.
David Mackffy

2
Tài khoản bị vô hiệu hóa cần một cal? Điều đó có vẻ không đúng. Tôi hiểu tài khoản kích hoạt, nhưng thực sự?
Jason Berg

1
MS có cung cấp bất kỳ chi tiết nào về lý do tại sao không? Tôi đã luôn nghe nói rằng mỗi người dùng là mỗi người, không phải trên mỗi tài khoản người dùng.
David

11

Ở đây, tại vị trí Cao Ed của tôi, chúng tôi có chính sách vô hiệu hóa và giữ lại trong 2 tuần.

  • Khi tài khoản của họ được liệt kê trong Biểu ngữ là 'không hoạt động', quá trình xử lý hàng loạt vào đêm hôm sau sẽ tắt quy trình Tắt.
    • Tài khoản Novell của họ bị vô hiệu hóa và hạn chế thời gian đăng nhập được đưa ra.
    • Tài khoản AD của họ bị vô hiệu hóa và hạn chế thời gian đăng nhập được đưa ra.
    • Các tài khoản Exchange của họ được đặt với Hạn chế phân phối cho chính họ, buộc tất cả thư đến tài khoản đó bị trả lại (mới với Exchange 2007, tài khoản bị vô hiệu hóa vẫn có thể nhận thư).
  • Hai tuần trôi qua, trong thời gian đó các nhà quản lý có thể ném cờ lưu giữ dữ liệu. Chúng tôi đối phó với những bông tuyết đặc biệt trong khoảng thời gian này.
  • Vào cuối hai tuần, tài khoản người dùng và hộp thư bị xóa.

Người quản lý yêu cầu quyền truy cập vào dữ liệu thư mục người dùng được cung cấp đĩa CD, không truy cập trực tiếp. FAR quá thường xuyên trong quá khứ cho biết các nhà quản lý chỉ sử dụng thư mục người dùng như một kho lưu trữ tệp khác.

Người quản lý yêu cầu quyền truy cập vào email được cung cấp bản xuất PST của hộp thư và không truy cập trực tiếp.

Các nhà quản lý phàn nàn rằng cựu chiến binh 20 năm của bộ phận là điểm liên lạc duy nhất cho một chức năng quan trọng nhất định, và do đó họ cần giữ tên xung quanh để các thư quan trọng không bị trả về, hãy nắm lấy tay họ. Chúng tôi cố gắng đặt quy tắc Out Of Office trên hộp thư bị vô hiệu cho biết người đó đã rời đi và vui lòng liên hệ với Người B thay thế. Sau đó, chúng tôi sẽ thiết lập một ngày xóa cứng cho tài khoản đó một cách phù hợp trong tương lai để đảm bảo rằng thế giới biết rằng Người A không còn ở đây nữa. Chúng tôi KHÔNG đặt địa chỉ email đó vào hộp thư khác nếu chúng tôi hoàn toàn có thể giúp đỡ. Chúng tôi không phải lúc nào cũng thành công.

Đôi khi, cựu chiến binh 20 năm đó là hỗ trợ thư ký chính cho một khu vực, và do đó là một Đại biểu của khá nhiều người có lịch cần quản lý. Ngay khi một tài khoản như thế bị vô hiệu hóa, bất kỳ ai gửi một cuộc hẹn đến lịch được quản lý sẽ nhận được tin nhắn bị trả lại bất thường. Tạm thời kích hoạt lại tài khoản sẽ dừng các tin nhắn bị trả lại trong khi nhân viên máy tính để bàn đi qua và xóa tay các Đại biểu khỏi tất cả các hộp thư. Điều này có thể mất một vài ngày để nhân viên máy tính để bàn đàm phán với chủ sở hữu của các lịch nói trên để có được và thực hiện các cài đặt cần thiết. Tài khoản sau đó được vô hiệu hóa lại và sẽ bị xóa trong 2 tuần thông thường. Đây là một "tính năng" của Exchange mà tôi đặc biệt không thích.


7

Tôi không phải là người thích xóa ngay tài khoản AD sau khi nhân viên hoặc nhà thầu rời công ty. Tôi thấy rằng tốt nhất là vô hiệu hóa trong ít nhất 30 ngày và sau đó xóa các tài khoản bị vô hiệu hóa 1-2 lần một năm.

Có một số lý do khiến bạn không muốn xóa tài khoản ngay lập tức:

1- Pháp y. Nếu tổ chức của bạn có nhu cầu theo đuổi hành động pháp lý chống lại nhân viên hoặc nhà thầu, bạn sẽ cần tài khoản gốc (SID).

2- Nhiệm vụ tự động - Người dùng, đặc biệt là nhân viên CNTT, có xu hướng thiết lập các tác vụ tự động để nghĩ như chạy công việc, tự động hóa báo cáo, dịch vụ tái chế, v.v. Bạn sẽ bị ràng buộc nếu bạn xóa tài khoản người dùng trước khi bạn nhận ra có phức tạp công việc hoặc nhiệm vụ gắn liền với ID. Bạn không thể đơn giản tạo lại tài khoản có cùng tên vì SID sẽ không giống nhau và đó là những gì các tác vụ tự động nhìn vào không phải là tên hiển thị của tài khoản.

Nếu bạn tắt trước, bạn luôn có thể kích hoạt lại tài khoản, thay đổi hoặc khôi phục mật khẩu và quay lại công việc cho đến khi bạn chuyển công việc sang tài khoản dịch vụ hợp pháp.


4

Chúng tôi có các yêu cầu kiểm toán khá nghiêm ngặt và thường được yêu cầu chứng minh rằng người dùng đã bị vô hiệu hóa và khi nào. Để giải quyết vấn đề này, chúng tôi có xu hướng vô hiệu hóa tài khoản khi chúng tôi được thông báo là họ đã rời đi. Di chuyển các tài khoản bị vô hiệu hóa sang OU của riêng họ và cập nhật mô tả với ngày họ rời đi (nó cũng có ích để cho phép chúng tôi vô hiệu hóa những người biến mất trong một khoảng thời gian dài và bật lại chúng khi họ quay lại).

Khi họ đã đi được 6 tháng thì chúng tôi xóa chúng.


Ngày đó không thể được "đánh bạc" hay AD, bên trong, lưu trữ một ngày không hoạt động mà Quản trị viên không thể chỉnh sửa dễ dàng? Tôi đoán bạn có thể nhìn vào ngày sửa đổi cuối cùng nhưng nếu bạn từng chạm vào nó, bạn sẽ mất lịch sử đó
Matt Rogish

Nó có thể dễ dàng thay đổi, may mắn là nó chưa xuất hiện :-) Nếu nó được yêu cầu, luôn có thuộc tính được sửa đổi cuối cùng của đối tượng người dùng sẽ có cùng ngày với ngày trong trường mô tả khi tài khoản bị vô hiệu hóa .
Mike1980

Tất nhiên, không có gì ngăn cản một quản trị viên thay đổi ngày trên DC, sửa đổi tài khoản và thay đổi ngày trở lại ... Pháp y thực sự khó khăn trong những ngày này.
Chris S

4

Nếu họ mất hơn 3 tháng, tôi sẽ xóa tài khoản của họ. Tất cả các hệ thống của chúng tôi đều có chuyển hướng thư mục và thư mục bắt buộc GPO cho Tài liệu / Máy tính để bàn của tôi, v.v., vì vậy sau khi xóa, tôi lưu trữ chúng vào khối lượng lưu trữ của mình trên máy chủ tệp.

Tôi có ý nghĩa về việc sử dụng các nhóm bảo mật dựa trên vai trò trên A / D cho mọi thứ, vì vậy không có người dùng nào có quyền đối với hệ thống tệp hoặc bất cứ điều gì khác được áp dụng ngầm, vì vậy không có vấn đề gì khi xóa người dùng. Việc thiết lập điều này cần một chút suy nghĩ và suy nghĩ thấu đáo - nhưng tôi thực sự khuyên bạn nên làm điều đó, vì nó làm cho việc quản lý các quyền trên Mạng Windows trở nên khó khăn.

Để trao đổi, tôi xuất hộp thư bằng ExMerge và đặt .pst với thư mục lưu trữ, sau đó thiết lập chuyển tiếp hoặc trả lại thư tùy thuộc vào vai trò của người đã rời đi.


3

Chính sách tại trường đại học tôi theo học và làm việc cho: như sau:

Sinh viên

  • khi rút tiền
    • tài khoản vô hiệu hóa
    • 30 ngày sau, xóa nếu không đăng ký lại
  • tốt nghiệp + 90 ngày
    • tài khoản vô hiệu hóa
    • tạo địa chỉ chuyển tiếp "phèn"
    • xóa 30 ngày sau

Nhân viên / Khoa

  • đến khi rời đi
    • tài khoản vô hiệu hóa
    • xóa 30 ngày sau

3

Có thể có một vấn đề rất lớn với việc xóa tài khoản máy tính: luật.

Theo Chỉ thị bảo vệ dữ liệu của EU, một số quốc gia thành viên (đặc biệt là Ba Lan) yêu cầu không bao giờ gán cùng một ID người dùng cho bất kỳ ai khác, đồng thời, ghi nhật ký của ai và khi nào được cấp quyền truy cập và khi quyền truy cập bị thu hồi.

Tóm lại: nếu bạn xử lý dữ liệu cá nhân, tốt hơn hãy hỏi luật sư / nhóm pháp lý.


Có ai có một nguồn cho các yêu cầu Ba Lan? Tôi không thể tìm thấy yêu cầu này trong Chỉ thị của EU hoặc pháp luật thực hiện chỉ thị cho Ba Lan hoặc Vương quốc Anh.
Adam Thompson

1
@AdamThndry: tiếc là tôi không thể tìm thấy nó bằng tiếng Anh, nhưng ở đây là tiếng Ba Lan: giodo.gov.pl/144/id_art/1002/j/pl (Dz. U. z 2004 r. Nr 100, poz. 1024 ) bạn có thể tìm thấy nó trong Phụ lục A, § IV, điểm 1: "Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie."
Hubert Kario

1
Sửa chữa, tôi tìm thấy chúng ở đây: giodo.gov.pl / 409/id_art/209/j/en
Hubert Kario

Rất cám ơn, Hubert. Việc đọc của tôi về điều này sẽ gợi ý rằng bạn không thể sử dụng lại cùng một tài khoản, nhưng tạo một tài khoản mới có cùng tên sẽ ổn. Tài khoản "adam@example.com" cũ sẽ bị xóa và có lẽ sau đó, một tài khoản "adam@example.com" mới sẽ được tạo - nhưng nó sẽ có SID hoặc UID khác và do đó sẽ là một "Identyfikator" khác / ID. Có lẽ đó là một trong những luật sư tranh luận, mặc dù nó sẽ hoạt động như thế nào trong trường hợp của một hệ thống pháp luật dân sự (trái ngược với thông thường), tôi không chắc chắn.
Adam Thompson

1
@AdamThndry: Tôi khá chắc chắn rằng đó là một cách đọc không chính xác. Xem II.2. "b) truy cập dữ liệu chỉ khả dụng sau khi nhập mã định danh và xác thực người dùng." Bạn không nhập SID / UID, bạn nhập tên người dùng có thể đọc được, do đó bạn không thể có hai người dùng với "adam@example.com". Bây giờ, nếu bạn có thể tạo nhiều tài khoản có chung SID / UID ... mà tôi không biết, nhưng có lẽ cũng không được phép.
Hubert Kario

2

Nếu bạn đã sao lưu tất cả dữ liệu của họ, tôi không thấy bất kỳ lý do nào để giữ tài khoản thư mục hoạt động. Tuy nhiên, tôi sẽ giữ cho tài khoản email của họ hoạt động và chuyển tiếp email của họ cho người khác khi khách hàng liên hệ với họ hoặc một cộng tác viên khác.


2

Tôi có hai khách hàng tư vấn mà tôi từng là nhân viên chính thức. Số nhân viên của tôi và mọi thứ đều giống nhau, và tôi khá chắc chắn rằng họ không bao giờ xóa tài khoản AD - họ chỉ vô hiệu hóa chúng - khi tôi quay lại họ mới khôi phục tôi.

Vấn đề duy nhất tôi thấy là tất cả tư cách thành viên nhóm và quyền truy cập gắn liền với SID của tôi (chỉ thành viên nhóm AD, tôi nghĩ) vẫn còn đó, vì vậy nếu tôi phải quay trở lại trong khả năng bị giảm, hãy xem xét lại các thành viên đó là một bước quan trọng

Sau đó, bất kể bạn xóa và tạo lại hay bạn tắt và bật, nếu tên tài khoản vẫn giữ nguyên, TẤT CẢ các hệ thống khác tham chiếu tài khoản người dùng sẽ phải được xóa.


2

Tôi làm việc như một kỹ thuật viên hỗ trợ từ xa (Elevated HelpDesk) cho một tiện ích năng lượng 500 may mắn. Nắm bắt bản chất kinh doanh của chúng tôi, chúng tôi có tất cả các loại kịch bản khác nhau, từ các nhà thầu đến và đi đến cựu chiến binh 20 năm như mô tả ở trên. Từ những gì tôi đã thấy chính sách của chúng tôi là cắt khô.

Tất cả các tài khoản có số vé cuối cùng, ngày và loại thay đổi trong trường mô tả. Ví dụ Change Order 123456 Created on 00/00/00 by the access manager Terminated on 00/00/00hayRe-enabled on 00/00/00 by Manager's Name

Ngay lập tức khi có thông báo về sự khác biệt, HelpDesk sẽ vô hiệu hóa tài khoản. Sau khi xác nhận hoặc tự động sau một thời gian đã đặt, người dùng vào tài khoản bị vô hiệu hóa OU và quảng cáo ba dấu chấm và ngày kết thúc ( ~~~00/00/00) cho tên hiển thị để cho phép cả người dùng CNTT và người dùng cuối nhanh chóng xác định người dùng không phải là người đơn độc với công ty .

Tôi không thể cung cấp thông tin về những gì xảy ra với dữ liệu. Tôi không làm việc trong bộ phận đó. Nhưng tôi biết sau một khoảng thời gian, tài khoản đã biến mất hoàn toàn.

Những khái niệm về dữ liệu và lưu giữ, trong khi vẫn bảo vệ tổ chức khỏi một nhân viên bất mãn nên là một phần của chính sách CNTT của bất kỳ tổ chức nào. Nhưng thời gian ở giữa mỗi bước sẽ khác nhau tùy theo công ty.

Nó thực sự giúp chúng ta trong máy tính để bàn đặc biệt là khi khắc phục sự cố nhắn tin.

Hi vọng điêu nay co ich


1

Chúng tôi có những người thường xuyên rút tiền sau đó quay trở lại bất cứ nơi nào từ một tuần đến sáu tháng sau đó. Khi chúng tôi vô hiệu hóa các tài khoản, chúng tôi có một số vấn đề mà tôi không thể nhớ lại bản chất của bây giờ ... có thể liên quan đến email? Một số cảnh báo khác? Thay vào đó, chúng tôi đã thay đổi quy trình của mình để mật khẩu được đặt lại thành một thứ gì đó tương tự như vô nghĩa và một ghi chú được đặt vào trường mô tả chi tiết về tình huống để bất kỳ ai khác chỉnh sửa thông tin người dùng của họ sẽ biết để tham khảo.

Tài khoản cuối cùng được triển khai bất kể khi nào họ được cho là đã tốt nghiệp.

Xóa tài khoản sau đó ... Tôi muốn nói đó là vấn đề chính sách, nhưng giữ lại cũng có lợi ích là "chơi an toàn" trong trường hợp có sai sót hoặc thay đổi tình huống. Hoặc có sự phân nhánh để xóa dữ liệu và đột nhiên ai đó cần quyền truy cập vào một số tệp hoặc thông tin hoặc thư nhất định, v.v ... nhưng điều đó có thể được xử lý thông qua các phương tiện khác nếu bạn có chính sách để khôi phục thông tin cũ và không có gì. Đối với chúng tôi, việc giữ các phần của tài khoản trong một thời gian dễ dàng hơn cho đến khi nó ổn định rằng nó sẽ không còn cần thiết nữa, giảm một số nỗ lực và đau đầu sau này.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.