Active Directory: usuwanie kontra wyłączanie zwolnionych pracowników [zamknięte]

32

Kiedy pracownik opuszcza organizację, czy usuwasz lub wyłączasz jego konto Active Directory? Nasza SOP polega na wyłączeniu, wyeksportowaniu / wyczyszczeniu skrzynki pocztowej Exchange, a następnie po upływie „pewnego czasu” (zwykle kwartalnego) usunięcie konta.

Czy jest jakieś opóźnienie? Dlaczego po wyeksportowaniu i wyczyszczeniu skrzynki pocztowej nie powinienem usuwać konta tam i teraz?

active-directory best-practices Matt Rogish
źródło

Odpowiedzi:

17

Po odejściu zwykle nie wracają. Nie widzę powodu, by trzymać się starych kont. Oto co robimy:

Pliki:

  • Przejrzyj ich pulpit (zwykle Moje dokumenty i pulpit) i zarchiwizuj ich stare dane na serwerze plików archiwum (tylko kilka dysków 1 TB w RAID-5)
  • Utwórz kopię zapasową folderu / user na zwykłym serwerze plików również w archiwum.

E-maile:

  • Utwórz kopię zapasową wszystkich wiadomości e-mail (w formacie pst lub po prostu zapisz skrzynkę pocztową, w zależności od systemu operacyjnego) i umieść w bezpiecznym miejscu. Czasami menedżerowie potrzebują dostępu do skrzynek pocztowych byłych pracowników, aby pobrać określone e-maile.
  • W razie potrzeby ustawiamy wiadomość e-mail przesyłaną dalej na konto menedżera lub współpracownika, dopóki poczta nie będzie już odbierana.
dubRun
źródło
2
Podoba mi się rzecz naprzód
Matt Rogish,
-1 Re: „Nie widzę powodu, aby trzymać się starych rachunków” David Mackintosh podaje doskonały powód…
Dscoduc
2
Nie zapomnij też ukryć ich nazwiska w książce adresowej wymiany
benPearce,
35

Wyłączamy konta. Ich „opisy” są aktualizowane, aby wskazywać datę wyjazdu, i zostają przeniesieni w hierarchii AD do folderu w zależności od tego, w jakim są stanie (zniknął + gdzieś przesłany e-mail, zniknął + pre-archiwum, zarchiwizowany).

Mamy dużą liczbę złożonych plików i hierarchii folderów. Jeśli usuniesz konto z usługi Active Directory, a plik / folder z wyraźnymi listami ACL dla użytkownika będą wyświetlać te dane ACL jako SID. I nie znalazłem żadnego sposobu, aby dowiedzieć się z identyfikatora SID, które to konto było kiedyś - ponieważ konto zostało usunięte.

W ten sposób, gdy ludzie patrzą na problemy własności / uprawnień, które zachowują się dziwnie, możemy zobaczyć (i usunąć) prawa własności i uprawnienia osób, których już nie ma.

Zaktualizuj, znacznie później: dowiedziałem się od kolegi, który przechodzi audyt od Microsoftu, że konta w Twojej AD wymagają licencji „na stanowisko” (jeśli przechylasz się w ten sposób), czy są to prawdziwi ludzie i czy nie osoba jest nadal obecna. Jest więc argument za usunięciem!

David Mackintosh
źródło
3
Dobra uwaga z SID na wyraźnych
listach
2
Mój kierownik również używa tego argumentu. Szczerze mówiąc, nie jestem zwolennikiem wyłączania kont i wolę je usuwać. Najlepsza praktyka sugeruje, że nie powinieneś wyraźnie zezwalać użytkownikom na listy ACL, a jeśli SID po prostu wyświetla, dlaczego go nie usunąć?
fenster
4
Ponieważ „Najlepsze praktyki” nie zawsze zdarzają się w prawdziwym świecie, zwłaszcza jeśli użytkownicy sami sobie radzą z uprawnieniami. Pozostawienie tam nazwy użytkownika oznacza, że ​​możesz wyszukać osobę odpowiedzialną i (sprawić, by) zdecydowała, co powinno się teraz stać, gdy ... zmarły ... odszedł.
David Mackintosh,
2
Wyłączone konta wymagają cal? To nie wydaje się właściwe. Rozumiem włączone konta, ale naprawdę?
Jason Berg,
1
Czy stwardnienie rozsiane podało jakieś szczegóły, dlaczego tak było? Zawsze słyszałem, że na użytkownika przypada jedna osoba, a nie konto użytkownika.
David
11

Tutaj, w moim miejscu w Wyższej Edii, obowiązuje zasada wyłączania i przechowywania przez 2 tygodnie.

  • Gdy ich konto zostanie wymienione w banerze jako „nieaktywne”, przetwarzanie wsadowe następnej nocy uruchomi proces Wyłącz.
    • Ich konta Novell są wyłączone ORAZ wprowadzone ograniczenie czasu logowania.
    • Ich konta AD są wyłączone ORAZ wprowadzone ograniczenie czasu logowania.
    • Ich konta Exchange są ustawione dla siebie Ograniczeniem dostarczania, zmuszając całą pocztę do tego konta do odrzucenia (nowość w Exchange 2007, wyłączone konta mogą nadal odbierać pocztę).
  • Upłynęły dwa tygodnie, podczas których menedżerowie mogą rzucać flagi zatrzymywania danych. W tym okresie mamy do czynienia ze specjalnymi płatkami śniegu.
  • Po upływie dwóch tygodni konta, katalogi użytkowników i skrzynki pocztowe zostaną usunięte.

Menedżerowie żądający dostępu do danych z katalogu użytkownika otrzymują dysk CD, a nie bezpośredni dostęp. W przeszłości zbyt często FAR powiedział, że menedżerowie używają katalogu użytkownika jako kolejnego magazynu plików.

Menedżerowie żądający dostępu do wiadomości e-mail otrzymują eksport skrzynki pocztowej w formacie PST, a nie bezpośredni dostęp.

Menedżerowie narzekają, że wspomniany 20-letni weteran departamentu był jedynym punktem kontaktowym dla pewnej kluczowej funkcji, dlatego też muszą zachować swoją nazwę, aby krytyczne maile nie zostały odesłane, a ich ręce trzymane. Staramy się umieścić regułę „Poza biurem” na wyłączonej skrzynce pocztowej, stwierdzającą, że dana osoba wyszła, i prosimy o kontakt z osobą B. Następnie ustalamy datę usunięcia dla tego konta odpowiednio daleko w przyszłości, aby upewnić się, że świat wie, że osoby A już nie ma. NIE umieszczamy tego adresu e-mail w innej skrzynce, jeśli możemy w ogóle pomóc. Nie zawsze odnosimy sukcesy.

Czasami ten 20-letni weteran był głównym sekretarzem wsparcia dla danego obszaru i dlatego był delegatem prawie wszystkich osób z kalendarzem, który wymaga zarządzania. Gdy tylko takie konto zostanie wyłączone, każda osoba wysyłająca spotkanie do zarządzanych kalendarzy otrzyma nietypowe odesłane wiadomości. Tymczasowe ponowne włączenie konta zatrzymuje odesłane wiadomości, gdy pracownicy pulpitu przechodzą i ręcznie usuwają delegatów ze wszystkich skrzynek pocztowych. Może to potrwać kilka dni, zanim pracownicy pulpitu będą mogli negocjować z właścicielami wspomnianych kalendarzy, aby wprowadzić i wprowadzić potrzebne ustawienia. Konto zostaje następnie ponownie wyłączone i będzie podlegało zwykłemu 2-tygodniowemu usunięciu. Jest to jedna z „cech” Exchange, której szczególnie nie lubię.

sysadmin1138
źródło
7

Nie jestem fanem natychmiastowego usuwania konta AD po odejściu pracownika lub wykonawcy z firmy. Przekonałem się, że najlepiej wyłączyć na co najmniej 30 dni, a następnie usuwać wyłączone konta 1-2 razy w roku.

Istnieje kilka powodów, dla których nie chcesz natychmiast usuwać konta:

1- Kryminalistyka. Jeśli Twoja organizacja musi podjąć kroki prawne przeciwko pracownikowi lub kontrahentowi, będziesz potrzebować oryginalnego konta (SID).

2- Zautomatyzowane zadania - użytkownicy, zwłaszcza pracownicy działu IT, zwykle konfigurują zautomatyzowane zadania w taki sposób, aby wykonywać zadania takie jak uruchamianie zadań, automatyzacja raportów, przetwarzanie usług itp. Twój związek będzie wiążący, jeśli usuniesz konto użytkownika, zanim zorientujesz się, że są skomplikowane zadania lub zadania powiązane z identyfikatorami. Nie można po prostu ponownie utworzyć konta o tej samej nazwie, ponieważ identyfikator SID nie będzie taki sam, i tak właśnie wyglądają zautomatyzowane zadania, a nie widoczna nazwa konta.

Jeśli najpierw wyłączysz, zawsze możesz ponownie włączyć konto, zmienić lub odzyskać hasło i wrócić do pracy, dopóki zadanie nie zostanie przeniesione na legalne konto usługi.


źródło
4

Mamy dość surowe wymagania dotyczące audytu i często jesteśmy proszeni o udowodnienie, że użytkownik został wyłączony i kiedy. Aby sobie z tym poradzić, zwykle wyłączamy konto, gdy powiedziano nam, że odeszli. Przenieś wyłączone konta do ich własnej jednostki organizacyjnej i zaktualizuj opis o datę, którą opuścili (jest to również przydatne, ponieważ pozwala nam wyłączać osoby, które znikają na dłuższy czas i włączać je ponownie, gdy wrócą).

Po upływie 6 miesięcy usuwamy je.

Mike1980
źródło
Czy nie można „zagrać” w tę datę, czy AD w środku przechowuje nieaktywną datę, której administratorzy nie mogą łatwo edytować? Myślę, że mógłbyś spojrzeć na datę ostatniej modyfikacji, ale jeśli kiedykolwiek go dotkniesz, stracisz tę historię
Matt Rogish
Można to dość łatwo zmienić, na szczęście jeszcze się nie pojawiło :-) Jeśli kiedykolwiek pojawi się pytanie, zawsze jest ostatni zmodyfikowany atrybut obiektu użytkownika, który powinien mieć tę samą datę, co data w polu opisu, kiedy konto zostało wyłączone .
Mike1980,
Oczywiście nic nie stoi na przeszkodzie, aby administrator zmienił datę w DC, zmienił konto i cofnął datę ... Kryminalistyka jest naprawdę trudna.
Chris S,
4

Jeśli znikną na dłużej niż 3 miesiące, usuwam ich konta. Wszystkie nasze systemy mają wymuszone przez GPO przekierowanie pulpitu i folderu dla moich dokumentów / pulpitu itp., Więc po usunięciu archiwizuję je do mojego woluminu archiwum na serwerze plików.

Pedantycznie używam do tego wszystkiego grup zabezpieczeń opartych na rolach w A / D, więc nie ma użytkowników, którzy mają uprawnienia do systemu plików lub cokolwiek innego domyślnie zastosowanego, więc żadne biggie nie usuwa użytkownika. Skonfigurowanie tego wymaga nieco zastanowienia i zastanowienia - ale naprawdę polecam to zrobić, ponieważ sprawia, że ​​zarządzanie uprawnieniami w sieci Windows jest bardzo trudne.

Jeśli chodzi o wymianę, eksportuję skrzynkę pocztową za pomocą ExMerge i umieszczam .pst w folderze zarchiwizowanym, a następnie konfiguruję przekazywanie lub odbijanie wiadomości w zależności od roli osoby, która odeszła.

ColtonCat
źródło
3

Polityka na uniwersytecie, do którego uczęszczałem i dla którego pracowałam, jest następująca:

Studenci

  • po wycofaniu
    • wyłącz konto
    • 30 dni później usuń, jeśli nie zostanie ponownie zarejestrowany
  • ukończenie szkoły + 90 dni
    • wyłącz konto
    • utwórz adres wysyłki „ałunu”
    • usuń 30 dni później

Pracownicy / Wydział

  • po wyjściu
    • wyłącz konto
    • usuń 30 dni później
królikarnia
źródło
3

Podczas usuwania kont komputerowych może wystąpić bardzo duży problem: prawo.

Zgodnie z unijną dyrektywą o ochronie danych niektóre państwa członkowskie (w szczególności Polska) wymagają, aby nigdy nie przypisywać tego samego identyfikatora użytkownika nikomu innemu, a jednocześnie prowadzić rejestr tego, kto i kiedy udzielono dostępu i kiedy dostęp został odwołany.

W skrócie: jeśli masz do czynienia z danymi osobowymi, lepiej zapytaj prawnika / zespół prawny.

Hubert Kario
źródło
Czy ktoś ma źródło polskich wymagań? Nie mogę znaleźć tego wymogu ani w dyrektywie UE, ani w przepisach wdrażających dyrektywę dla Polski lub Wielkiej Brytanii.
Adam Thompson
1
@AdamThompson: niestety nie mogłem go znaleźć w języku angielskim, ale tutaj jest w języku polskim: giodo.gov.pl/144/id_art/1002/j/pl (Dz. U. z 2004 r. Nr 100, poz. 1024 ) można go znaleźć w załączniku A, § IV, punkt 1: „Identyfikator użytkownika, który utracił uprawnienia do obsługi danych, nie może być przypisany innej osobie.”, tłumacz google wykonuje na tym porządną robotę.
Hubert Kario
1
Korekta, znalazłem je tutaj: giodo.gov.pl/409/id_art/209/j/en
Hubert Kario
Wielkie dzięki, Hubert. Moje czytanie tego sugerowałoby, że nie można ponownie użyć tego samego konta, ale utworzenie nowego konta o tej samej nazwie byłoby OK. Stare konto „[email protected]” zostanie usunięte, a być może później zostanie utworzone nowe konto „[email protected]” - ale będzie mieć inny identyfikator SID lub UID, a zatem będzie inny „Identyfikator” / ID. Być może prawnicy kłócą się, choć nie jestem pewien, jak to by działało w przypadku cywilnego (w przeciwieństwie do zwykłego) systemu prawnego.
Adam Thompson
1
@AdamThompson: Jestem pewien, że to niepoprawny odczyt. Zobacz II.2. „b) dostęp do danych jest możliwy tylko po wprowadzeniu identyfikatora i uwierzytelnieniu użytkownika.” Nie wpisujesz identyfikatora SID / UID, podajesz czytelną dla człowieka nazwę użytkownika, więc nie możesz mieć dwóch użytkowników z adresem „[email protected]”. Teraz, jeśli możesz utworzyć wiele kont, które mają ten sam identyfikator SID / UID ... nie wiem, ale prawdopodobnie też nie jest dozwolone.
Hubert Kario
2

Jeśli utworzono kopię zapasową wszystkich ich danych, nie widzę żadnego powodu, aby prowadzić konto Active Directory. Chciałbym jednak utrzymać ich konto e-mail aktywne i przesyłać dalej pocztą e-mail do kogoś innego, jeśli klient skontaktuje się z nimi lub innym współpracownikiem.

Highstead
źródło
2

Mam dwóch klientów konsultingowych, z których kiedyś pracowałem na pełny etat. Mój numer personelu i wszystko jest takie samo i jestem prawie pewien, że nigdy nie usuwają kont AD - po prostu je wyłączają - kiedy wróciłem, przywrócili mnie.

Jedyny problem, jaki widzę, to to, że wszystkie moje członkostwa w grupach i dostępy powiązane z moim identyfikatorem SID (tylko członkostwa w grupach AD, myślę, że nadal istnieją), więc jeśli miałbym powrócić w ograniczonej pojemności, przeglądanie tych członkostw być krytycznym krokiem.

Następnie, niezależnie od tego, czy usuniesz i ponownie utworzysz, czy też wyłączysz i włączysz, jeśli nazwa konta sam pozostanie taka sama, WSZYSTKIE inne systemy odwołujące się do tego konta użytkownika będą musiały zostać wyczyszczone.

Jason Kleban
źródło
2

Pracuję jako technik zdalnego wsparcia (Elevated HelpDesk) dla narzędzia energetycznego fortune 500. Ze względu na charakter naszej działalności mamy wszystkie rodzaje scenariuszy, od kontrahentów, którzy przychodzą i przechodzą do 20-letniego weterana, jak opisano powyżej. Z tego, co widziałem, nasza polityka jest wycięta i osuszona.

Wszystkie konta mają ostatni numer biletu oraz datę i rodzaj zmiany w polu opisu. np Change Order 123456 Created on 00/00/00 by the access manager Terminated on 00/00/00lubRe-enabled on 00/00/00 by Manager's Name

Natychmiast po powiadomieniu o rozbieżności HelpDesk wyłącza konto. Po potwierdzeniu lub automatycznie po ustalonym czasie użytkownik do wyłączonej jednostki organizacyjnej konta i reklamuje trzy tyldy i datę zakończenia ( ~~~00/00/00) na wyświetlaną nazwę, aby umożliwić zarówno IT, jak i użytkownikom końcowym szybką identyfikację na pierwszy rzut oka, że ​​użytkownik nie jest samotny z firmą .

Nie mogę podać informacji o tym, co dzieje się z danymi. Nie pracuję w tym dziale. Ale wiem po ćmie, że konto zniknęło całkowicie.

Te koncepcje przechowywania i przechowywania danych, a jednocześnie chroniące organizację przed niezadowolonym pracownikiem, powinny być częścią zasad informatycznych każdej organizacji. Ale czas pomiędzy poszczególnymi krokami będzie różny w zależności od firmy.

To naprawdę pomaga nam na komputerze, szczególnie podczas rozwiązywania problemów związanych z przesyłaniem wiadomości.

Mam nadzieję że to pomoże

kokan90
źródło
1

Mamy ludzi, którzy rutynowo się wycofują, a następnie wracają gdziekolwiek od tygodnia do sześciu miesięcy później. Kiedy wyłączaliśmy konta, mieliśmy jakiś problem, którego nie mogę sobie przypomnieć z natury ... prawdopodobnie związany z e-mailem? Jakieś inne ostrzeżenie? Zamiast tego zmieniliśmy naszą procedurę, aby hasło zostało zresetowane do czegoś podobnego do bełkotu, aw polu opisu została umieszczona notatka opisująca sytuację, aby każdy, kto edytuje informacje o użytkowniku, znał ją w celach informacyjnych.

Konto jest ostatecznie rozwijane bez względu na to, kiedy mają ukończyć szkołę.

Usunięcie konta tu i tam ... Powiedziałbym, że jest to kwestia zasad, ale wstrzymanie się ma tę zaletę, że „gra bezpiecznie” na wypadek błędu lub zmiany sytuacji. Lub istnieje konsekwencja w zwykłym usuwaniu danych i nagle ktoś potrzebuje dostępu do niektórych plików, informacji lub poczty itp., Ale można to rozwiązać za pomocą innych środków, jeśli masz zasady przywracania starych informacji i tak dalej. Dla nas po prostu łatwiej jest przechowywać części konta na jakiś czas, dopóki nie zostanie ustalone, że nie będzie ono już potrzebne, zmniejszy wysiłek i ból głowy później.

Bart Silverstrim
źródło