it-swarm.cn

Active Directory:删除与禁用离职员工

当员工离开您的组织时,您是否删除或禁用其Active Directory帐户?我们的SOP是要禁用,导出/清除Exchange邮箱,然后在经过“一段时间”后(通常每季度一次),删除该帐户。

有什么需要延迟的吗?导出并清除其邮箱后,为什么不应该立即删除该帐户?

32
Matt Rogish

一旦他们退出,他们通常不会回来。我认为没有理由继续使用旧帐户。这是我们的工作:

文件:

  • 浏览他们的桌面(通常是“我的文档”和“桌面”)并将其旧数据存档到存档文件服务器(RAID-5中只有几个1TB驱动器)
  • 也将其/ user文件夹在常规文件服务器上备份到存档文件之一。

电子邮件:

  • 备份他们的所有电子邮件(在pst中或仅保存其邮箱,具体取决于操作系统),并将其放在安全的地方。有时,经理需要访问前员工邮箱才能检索特定的电子邮件。
  • 如果需要,我们将电子邮件转发给经理或同事帐户,直到没有更多邮件通过为止。
17
dubRun

我们禁用帐户。他们的“描述”会更新以指示出发日期,并且根据他们所处的出发状态(消失+邮件转发到某处,走过去+预先存档,已存档)在AD层次结构中移动到文件夹中。

我们有大量的复杂文件和文件夹层次结构。如果您从Active Directory中删除帐户,并且具有明确的按用户ACL的文件/文件夹将使该ACL数据显示为SID。而且我还没有找到任何方法可以从SID找出它曾经是哪个帐户-因为该帐户已被删除。

这样,当人们查看行为奇怪的所有权/权限问题时,我们可以看到(和删除)不再存在的人们的所有权和权限。

更新,很久以后:我从一位正在接受Microsoft审核的同事那里了解到,您的AD中的帐户需要“每位”许可证(如果您采用这种方式),无论他们是否是真实的人,以及该人是否仍在场。因此,有一个参数需要删除!

35
David Mackintosh

在我的高等教育学院,我们有残疾人士保留政策,保留2周。

  • 当他们的帐户在“横幅”中列为“无效”时,第二天晚上的批处理将触发“禁用”过程。
    • 他们的Novell帐户被禁用,并且设置了登录时间限制。
    • 他们的AD帐户已被禁用,并且设置了登录时间限制。
    • 他们的Exchange帐户设置有发送限制,从而强制所有发送到该帐户的邮件退回(对于Exchange 2007而言,这是新功能,禁用的帐户仍可以接收邮件)。
  • 经过两个星期,在此期间经理可能会抛出数据保留标志。在此间隔内,我们处理特殊的雪花。
  • 两周后,将清除帐户,用户目录和邮箱。

向请求访问用户目录数据的管理人员提供CD,而不是直接访问。过去,FAR经常说经理们只是将用户目录用作另一个文件存储。

向请求访问电子邮件的管理人员提供邮箱的PST导出,而不是直接访问。

经理抱怨说,该部门有20年经验的老手是某些关键职能部门的唯一联络人,因此,他们需要保持名字,以便关键邮件不会被退回,也不会受到牵连。我们尝试在已禁用的邮箱上设置“外出”规则,说明该人已离开,请改为与人B联系。然后,我们会在将来适当的某个较远的日期为该帐户设置一个硬删除日期,以确保全世界都知道A人不在这里。如果可以提供帮助,我们不会将该电子邮件地址放在另一个邮箱中。我们并不总是成功的。

有时,这位拥有20年经验的退伍军人是某个地区总理的支持,因此几乎是每个需要管理日历的人的代表。这样的帐户一经禁用,向托管日历发送约会的任何人都会收到异常的退回消息。临时重新启用该帐户会停止退回邮件,而桌面工作人员会从所有邮箱中手动删除代表。桌面工作人员可能需要几天时间才能与上述日历的所有者进行协商,以进入并进行所需的设置。然后,该帐户将被重新禁用,并且通常会被删除2周。这是我特别不喜欢的Exchange的一项“功能”。

11
sysadmin1138

我不喜欢在雇员或承包商离开公司后立即删除广告帐户。我发现最好禁用至少30天,然后每年删除1-2次禁用的帐户。

您不想立即删除帐户的原因有两个:

1-法医。如果您的组织需要对雇员或承包商提起法律诉讼,则需要原始帐户(SID)。

2-自动化任务-用户(尤其是IT工作者)倾向于设置自动化任务,以进行运行作业,自动化报告,回收服务等工作。与ID相关的工作或任务。您不能简单地用相同的名称重新创建帐户,因为SID会不同,这就是自动化任务所看到的,而不是帐户的可见名称。

如果先禁用,则始终可以重新启用该帐户,更改或恢复密码,然后重新进行业务,直到将工作转移到合法的服务帐户为止。

7
John

如果他们离开超过3个月,我将删除他们的帐户。我们所有的系统都为我的文档/桌面等提供了GPO强制的桌面和文件夹重定向,因此,在删除后,我将它们归档到文件服务器上的归档卷中。

我很想在A/D上使用基于角色的安全组来进行所有操作,因此没有用户拥有对文件系统或任何其他隐式应用的权限,因此不会删除用户。进行设置需要花费一些时间和精力,但我确实建议您这样做,因为它确实使Windows网络上的权限管理变得轻而易举。

至于交换,我用ExMerge导出邮箱,然后将.pst和存档文件夹放在一起,然后根据离开的人的角色设置转发或退回邮件。

4
ColtonCat

我们有非常严格的审核要求,并且经常被要求证明用户被禁用以及何时被禁用。为了解决这个问题,我们通常会在被告知他们离开后禁用该帐户。将禁用的帐户移至其自己的OU,并用其离开的日期更新描述(这也非常方便,它使我们可以禁用长时间消失的人,并在他们回来时重新启用它们)。

一旦它们消失了6个月,我们便将其删除。

4
Mike1980

我参加并就职的大学的政策如下:

学生们

  • 退出时
    • 禁用账户
    • 30天后,如果未重新注册,请删除
  • 毕业+ 90天
    • 禁用账户
    • 创建“ alum”转发地址
    • 30天后删除

教职员工

  • 离开时
    • 禁用账户
    • 30天后删除
3
warren

删除计算机帐户可能会有很大的问题:法律。

根据欧盟 数据保护指令 ,某些成员国(尤其是波兰)要求永远不要将相同的用户ID分配给其他任何人,同时,要记录谁以及何时被授予访问权限以及何时访问访问被撤消了。

简而言之:如果您处理个人数据,最好咨询律师/法律团队。

3
Hubert Kario

我是财富500强企业的远程支持(Elevated HelpDesk)技术人员。顺应我们业务的性质,我们有各种各样的方案,从如上所述的承包人到有20年经验的退伍军人。从我所看到的来看,我们的政策是断断续续的。

所有帐户的描述字段中都有最后的票证编号,日期和更改类型。例如。 Change Order 123456 Created on 00/00/00 by the access managerTerminated on 00/00/00 要么 Re-enabled on 00/00/00 by Manager's Name

收到差异通知后,HelpDesk会立即禁用该帐户。确认后或在设定的时间后自动将用户转到禁用的帐户OU,并广告三个波浪号和终止日期(~~~00/00/00)更改为显示名称,以使IT和最终用户都可以迅速识别出该用户对公司的独到之处。

我无法提供有关数据发生情况的信息。我不在那个部门工作。但是,我确实知道,很快就没钱了。

这些数据和保留的概念,同时仍然可以保护组织免受不满的员工的欢迎,应该成为任何组织的IT策略的一部分。但是每个步骤之间的时间会因公司而异。

它确实确实在桌面上对我们有帮助,尤其是在解决邮件问题时。

希望这可以帮助

2
kokan90

如果您已经备份了他们的所有数据,我看不出保留Active Directory帐户的任何理由。 但是我会保持他们的电子邮件帐户处于活动状态,并在他们的电子邮件上转发给其他人,以防客户与他们或其他同事联系。

2
Highstead

我有两个咨询客户,我曾经是全职员工。我的人员编号和所有内容都相同,而且我很确定他们永远不会删除AD帐户-他们只是禁用它们-当我回来时,他们只是恢复了我的身份。

我看到的唯一问题是,所有与我的SID绑定的组成员身份和访问权限(我认为,仅AD组成员身份)仍然存在,因此,如果我应该以减少的身份回来,请检查这些成员身份是关键的一步。

然后,无论您是删除还是重新创建还是禁用和启用,如果samaccountname保持不变,则必须清除所有引用该用户帐户的其他系统。

2
Jason Kleban

我们的员工通常会撤离,然后一周到六个月后再返回。当我们要禁用帐户时,我们遇到了一些问题,我不记得现在的性质...可能与电子邮件相关?还有其他警告吗?我们改为更改了程序,以便将密码重置为类似于乱码的内容,并在说明字段中添加了详细说明情况的注释,以便其他任何编辑其用户信息的人都可以知道以供参考。

无论他们一旦毕业,该帐户最终都会推出。

然后删除该帐户……这是一个政策问题,但是如果出现错误或情况发生变化,暂缓执行还具有“安全使用”的好处。或者简单地删除数据会导致突然有人需要访问某些文件或信息或邮件等,但是如果您有恢复旧信息的策略,则可以通过其他方式来处理。对我们来说,保留一部分帐户直到确定不再需要该帐户会更容易,这减少了以后的工作量和麻烦。

1
Bart Silverstrim