Likwidowanie użytkownika systemu Windows [zamknięty]

Mam już procedury usuwania użytkownika z naszej domeny, gdy opuszcza on swoją rolę. W wielu przypadkach jest to tak proste, jak usunięcie użytkownika z AD.

Czy powinienem pójść dalej, na przykład usuwając folder użytkownika na komputerze?

Poszukałem „Wycofanie użytkownika systemu Windows”, ale wydaje się, że nie ma żadnej dokumentacji ani najlepszych praktyk ...

windows user-accounts active-directory user 3-14159265358979323846264
źródło

To zależy wyłącznie od Ciebie.

Ramhound,

Jaki problem próbujesz rozwiązać? Czy obawiasz się, że wyłączenie konta użytkownika usługi AD nie wystarczy, aby zablokować jego dostęp?

Twisty Impersonator,

Mam nadzieję, że usunięcie użytkownika z AD wystarczyłoby, aby zablokować jego dostęp, przynajmniej na komputerze podłączonym do kontrolera domeny! Ale zastanawiałem się, czy są jakieś inne rozsądne / dobrze znane kroki, które powinienem wykonać inaczej niż usunięcie konta. Jeśli ich nie ma, nadal będę szczęśliwy!

3-14159265358979323846264,

@DavidPostill. Czy masz jakieś zalecenia dotyczące tego, gdzie powinienem opublikować tego rodzaju pytanie, ponieważ nie można go przeredagować? Jeśli korzystam z Google superuser, opis brzmi: „Super użytkownik to strona z pytaniami i odpowiedziami dla entuzjastów komputerów i zaawansowanych użytkowników”. Z pewnością jest to pytanie dla zaawansowanych użytkowników, a czasem zbiór opinii jest w rzeczywistości najlepszą odpowiedzią, o jaką możesz poprosić. Czy moje pytanie nie jest istotne na arenie zaawansowanych użytkowników?

3-14159265358979323846264

Odpowiedzi:

Częściowo jest to kwestia prawna lub kadrowa. Czy użytkownik odszedł na dobrych warunkach lub pod chmurką podejrzeń? Czy inni użytkownicy przejmujący rolę potrzebują dostępu do plików? Czy wiadomość e-mail jest zaangażowana, a jeśli tak, to czy może być przedmiotem sporu sądowego? Czy w skrajnym przypadku usunięcie ich plików można uznać za zniszczenie dowodów? To nie są problemy techniczne.

Od strony technicznej wyłączenie konta (nawet go nie usuwając) zasadniczo blokuje większość dostępu. Muszę powiedzieć „większość”, ponieważ w dzisiejszym mobilnym, połączonym świecie wiele rzeczy jest buforowanych i synchronizowanych. Użytkownik może użyć buforowanych danych logowania do zalogowania się na komputerze odłączonym od sieci.

Jednym z ważnych problemów technicznych, o których należy pamiętać, jest to, że ActiveSync (najczęstszy sposób uzyskiwania dostępu do Exchange przez telefony) może umożliwić dostęp do skrzynki pocztowej po wyłączeniu konta. (Zobacz https://blogs.technet.microsoft.com/messaging_with_communications/2012/06/26/part-i-disabled-accounts-and-activesync-devices-continuing-to-sync/ )

W przypadkach „pilnego zwolnienia” zalecam sporządzenie listy kontrolnej (którą można następnie napisać w skrypcie), która obejmuje wszystkie techniczne i ręczne kroki, które Ty (dział IT) i inni (ludzie tacy jak HR, bezpieczeństwo fizyczne itp. ) trzeba zrobić, jeśli ktoś nagle odejdzie z firmy. Ta lista kontrolna może być następnie zweryfikowana i zatwierdzona przez kierownictwo lub osoby prawne. Niektóre punkty początkowe znajdują się na tym blogu od Joe Schaeffera.

Możesz wyszukać takie tematy, jak „Lista kontrolna zakończenia”.

bph
źródło

Dzięki za wgląd. Wydaje mi się, że jest to całkowicie uzasadniona obawa i rozsądne pytanie.

Sprawdzę