Khi một nhân viên rời khỏi tổ chức của bạn, bạn có xóa hoặc vô hiệu hóa tài khoản Active Directory của họ không? SOP của chúng tôi là vô hiệu hóa, xuất / xóa hộp thư Exchange và sau đó sau khi "một thời gian" đã hết (thường là hàng quý), hãy xóa tài khoản.
Có cần sự chậm trễ đó không? Sau khi xuất và xóa hộp thư của họ, tại sao tôi không nên xóa tài khoản ngay lúc đó?
Câu trả lời:
Một khi họ bỏ cuộc, họ sẽ không quay lại thường xuyên. Tôi thấy không có lý do để treo lên các tài khoản cũ. Đây là những gì chúng tôi làm:
Các tập tin:
Email:
Chúng tôi vô hiệu hóa các tài khoản. "Mô tả" của họ được cập nhật để chỉ ra ngày khởi hành và họ được chuyển trong hệ thống phân cấp AD vào một thư mục tùy thuộc vào trạng thái khởi hành của họ (đi + email được chuyển đi đâu đó, đi + lưu trữ trước, lưu trữ).
Chúng tôi có một số lượng lớn các tập tin phức tạp và phân cấp thư mục. Nếu bạn xóa tài khoản khỏi Active Directory và tệp / thư mục có ACL cho mỗi người dùng rõ ràng sẽ có dữ liệu ACL đó được hiển thị dưới dạng SID. Và tôi đã không tìm thấy bất kỳ cách nào để tìm ra từ một SID tài khoản mà nó đã từng là - bởi vì tài khoản đã bị xóa.
Bằng cách này khi mọi người đang xem xét các vấn đề về quyền sở hữu / quyền đang hành xử kỳ quặc, chúng ta có thể thấy (và xóa) quyền sở hữu và quyền của những người không còn hiện diện.
Cập nhật, rất lâu sau: Tôi đã học được từ một đồng nghiệp đang thực hiện kiểm toán từ Microsoft rằng các tài khoản trong AD của bạn yêu cầu giấy phép "mỗi chỗ ngồi" (nếu bạn đang xoay theo cách đó), cho dù họ có phải là người thật hay không không phải là người vẫn còn hiện diện Vì vậy, có một đối số được đưa ra để xóa!
Ở đây, tại vị trí Cao Ed của tôi, chúng tôi có chính sách vô hiệu hóa và giữ lại trong 2 tuần.
Người quản lý yêu cầu quyền truy cập vào dữ liệu thư mục người dùng được cung cấp đĩa CD, không truy cập trực tiếp. FAR quá thường xuyên trong quá khứ cho biết các nhà quản lý chỉ sử dụng thư mục người dùng như một kho lưu trữ tệp khác.
Người quản lý yêu cầu quyền truy cập vào email được cung cấp bản xuất PST của hộp thư và không truy cập trực tiếp.
Các nhà quản lý phàn nàn rằng cựu chiến binh 20 năm của bộ phận là điểm liên lạc duy nhất cho một chức năng quan trọng nhất định, và do đó họ cần giữ tên xung quanh để các thư quan trọng không bị trả về, hãy nắm lấy tay họ. Chúng tôi cố gắng đặt quy tắc Out Of Office trên hộp thư bị vô hiệu cho biết người đó đã rời đi và vui lòng liên hệ với Người B thay thế. Sau đó, chúng tôi sẽ thiết lập một ngày xóa cứng cho tài khoản đó một cách phù hợp trong tương lai để đảm bảo rằng thế giới biết rằng Người A không còn ở đây nữa. Chúng tôi KHÔNG đặt địa chỉ email đó vào hộp thư khác nếu chúng tôi hoàn toàn có thể giúp đỡ. Chúng tôi không phải lúc nào cũng thành công.
Đôi khi, cựu chiến binh 20 năm đó là hỗ trợ thư ký chính cho một khu vực, và do đó là một Đại biểu của khá nhiều người có lịch cần quản lý. Ngay khi một tài khoản như thế bị vô hiệu hóa, bất kỳ ai gửi một cuộc hẹn đến lịch được quản lý sẽ nhận được tin nhắn bị trả lại bất thường. Tạm thời kích hoạt lại tài khoản sẽ dừng các tin nhắn bị trả lại trong khi nhân viên máy tính để bàn đi qua và xóa tay các Đại biểu khỏi tất cả các hộp thư. Điều này có thể mất một vài ngày để nhân viên máy tính để bàn đàm phán với chủ sở hữu của các lịch nói trên để có được và thực hiện các cài đặt cần thiết. Tài khoản sau đó được vô hiệu hóa lại và sẽ bị xóa trong 2 tuần thông thường. Đây là một "tính năng" của Exchange mà tôi đặc biệt không thích.
Tôi không phải là người thích xóa ngay tài khoản AD sau khi nhân viên hoặc nhà thầu rời công ty. Tôi thấy rằng tốt nhất là vô hiệu hóa trong ít nhất 30 ngày và sau đó xóa các tài khoản bị vô hiệu hóa 1-2 lần một năm.
Có một số lý do khiến bạn không muốn xóa tài khoản ngay lập tức:
1- Pháp y. Nếu tổ chức của bạn có nhu cầu theo đuổi hành động pháp lý chống lại nhân viên hoặc nhà thầu, bạn sẽ cần tài khoản gốc (SID).
2- Nhiệm vụ tự động - Người dùng, đặc biệt là nhân viên CNTT, có xu hướng thiết lập các tác vụ tự động để nghĩ như chạy công việc, tự động hóa báo cáo, dịch vụ tái chế, v.v. Bạn sẽ bị ràng buộc nếu bạn xóa tài khoản người dùng trước khi bạn nhận ra có phức tạp công việc hoặc nhiệm vụ gắn liền với ID. Bạn không thể đơn giản tạo lại tài khoản có cùng tên vì SID sẽ không giống nhau và đó là những gì các tác vụ tự động nhìn vào không phải là tên hiển thị của tài khoản.
Nếu bạn tắt trước, bạn luôn có thể kích hoạt lại tài khoản, thay đổi hoặc khôi phục mật khẩu và quay lại công việc cho đến khi bạn chuyển công việc sang tài khoản dịch vụ hợp pháp.
Chúng tôi có các yêu cầu kiểm toán khá nghiêm ngặt và thường được yêu cầu chứng minh rằng người dùng đã bị vô hiệu hóa và khi nào. Để giải quyết vấn đề này, chúng tôi có xu hướng vô hiệu hóa tài khoản khi chúng tôi được thông báo là họ đã rời đi. Di chuyển các tài khoản bị vô hiệu hóa sang OU của riêng họ và cập nhật mô tả với ngày họ rời đi (nó cũng có ích để cho phép chúng tôi vô hiệu hóa những người biến mất trong một khoảng thời gian dài và bật lại chúng khi họ quay lại).
Khi họ đã đi được 6 tháng thì chúng tôi xóa chúng.
Nếu họ mất hơn 3 tháng, tôi sẽ xóa tài khoản của họ. Tất cả các hệ thống của chúng tôi đều có chuyển hướng thư mục và thư mục bắt buộc GPO cho Tài liệu / Máy tính để bàn của tôi, v.v., vì vậy sau khi xóa, tôi lưu trữ chúng vào khối lượng lưu trữ của mình trên máy chủ tệp.
Tôi có ý nghĩa về việc sử dụng các nhóm bảo mật dựa trên vai trò trên A / D cho mọi thứ, vì vậy không có người dùng nào có quyền đối với hệ thống tệp hoặc bất cứ điều gì khác được áp dụng ngầm, vì vậy không có vấn đề gì khi xóa người dùng. Việc thiết lập điều này cần một chút suy nghĩ và suy nghĩ thấu đáo - nhưng tôi thực sự khuyên bạn nên làm điều đó, vì nó làm cho việc quản lý các quyền trên Mạng Windows trở nên khó khăn.
Để trao đổi, tôi xuất hộp thư bằng ExMerge và đặt .pst với thư mục lưu trữ, sau đó thiết lập chuyển tiếp hoặc trả lại thư tùy thuộc vào vai trò của người đã rời đi.
Chính sách tại trường đại học tôi theo học và làm việc cho: như sau:
Có thể có một vấn đề rất lớn với việc xóa tài khoản máy tính: luật.
Theo Chỉ thị bảo vệ dữ liệu của EU, một số quốc gia thành viên (đặc biệt là Ba Lan) yêu cầu không bao giờ gán cùng một ID người dùng cho bất kỳ ai khác, đồng thời, ghi nhật ký của ai và khi nào được cấp quyền truy cập và khi quyền truy cập bị thu hồi.
Tóm lại: nếu bạn xử lý dữ liệu cá nhân, tốt hơn hãy hỏi luật sư / nhóm pháp lý.
Tôi có hai khách hàng tư vấn mà tôi từng là nhân viên chính thức. Số nhân viên của tôi và mọi thứ đều giống nhau, và tôi khá chắc chắn rằng họ không bao giờ xóa tài khoản AD - họ chỉ vô hiệu hóa chúng - khi tôi quay lại họ mới khôi phục tôi.
Vấn đề duy nhất tôi thấy là tất cả tư cách thành viên nhóm và quyền truy cập gắn liền với SID của tôi (chỉ thành viên nhóm AD, tôi nghĩ) vẫn còn đó, vì vậy nếu tôi phải quay trở lại trong khả năng bị giảm, hãy xem xét lại các thành viên đó là một bước quan trọng
Sau đó, bất kể bạn xóa và tạo lại hay bạn tắt và bật, nếu tên tài khoản vẫn giữ nguyên, TẤT CẢ các hệ thống khác tham chiếu tài khoản người dùng sẽ phải được xóa.
Tôi làm việc như một kỹ thuật viên hỗ trợ từ xa (Elevated HelpDesk) cho một tiện ích năng lượng 500 may mắn. Nắm bắt bản chất kinh doanh của chúng tôi, chúng tôi có tất cả các loại kịch bản khác nhau, từ các nhà thầu đến và đi đến cựu chiến binh 20 năm như mô tả ở trên. Từ những gì tôi đã thấy chính sách của chúng tôi là cắt khô.
Tất cả các tài khoản có số vé cuối cùng, ngày và loại thay đổi trong trường mô tả. Ví dụ Change Order 123456 Created on 00/00/00 by the access manager
Terminated on 00/00/00hayRe-enabled on 00/00/00 by Manager's Name
Ngay lập tức khi có thông báo về sự khác biệt, HelpDesk sẽ vô hiệu hóa tài khoản. Sau khi xác nhận hoặc tự động sau một thời gian đã đặt, người dùng vào tài khoản bị vô hiệu hóa OU và quảng cáo ba dấu chấm và ngày kết thúc ( ~~~00/00/00) cho tên hiển thị để cho phép cả người dùng CNTT và người dùng cuối nhanh chóng xác định người dùng không phải là người đơn độc với công ty .
Tôi không thể cung cấp thông tin về những gì xảy ra với dữ liệu. Tôi không làm việc trong bộ phận đó. Nhưng tôi biết sau một khoảng thời gian, tài khoản đã biến mất hoàn toàn.
Những khái niệm về dữ liệu và lưu giữ, trong khi vẫn bảo vệ tổ chức khỏi một nhân viên bất mãn nên là một phần của chính sách CNTT của bất kỳ tổ chức nào. Nhưng thời gian ở giữa mỗi bước sẽ khác nhau tùy theo công ty.
Nó thực sự giúp chúng ta trong máy tính để bàn đặc biệt là khi khắc phục sự cố nhắn tin.
Hi vọng điêu nay co ich
Chúng tôi có những người thường xuyên rút tiền sau đó quay trở lại bất cứ nơi nào từ một tuần đến sáu tháng sau đó. Khi chúng tôi vô hiệu hóa các tài khoản, chúng tôi có một số vấn đề mà tôi không thể nhớ lại bản chất của bây giờ ... có thể liên quan đến email? Một số cảnh báo khác? Thay vào đó, chúng tôi đã thay đổi quy trình của mình để mật khẩu được đặt lại thành một thứ gì đó tương tự như vô nghĩa và một ghi chú được đặt vào trường mô tả chi tiết về tình huống để bất kỳ ai khác chỉnh sửa thông tin người dùng của họ sẽ biết để tham khảo.
Tài khoản cuối cùng được triển khai bất kể khi nào họ được cho là đã tốt nghiệp.
Xóa tài khoản sau đó ... Tôi muốn nói đó là vấn đề chính sách, nhưng giữ lại cũng có lợi ích là "chơi an toàn" trong trường hợp có sai sót hoặc thay đổi tình huống. Hoặc có sự phân nhánh để xóa dữ liệu và đột nhiên ai đó cần quyền truy cập vào một số tệp hoặc thông tin hoặc thư nhất định, v.v ... nhưng điều đó có thể được xử lý thông qua các phương tiện khác nếu bạn có chính sách để khôi phục thông tin cũ và không có gì. Đối với chúng tôi, việc giữ các phần của tài khoản trong một thời gian dễ dàng hơn cho đến khi nó ổn định rằng nó sẽ không còn cần thiết nữa, giảm một số nỗ lực và đau đầu sau này.