33 votos

Active Directory: eliminar vs deshabilitar apartó de los empleados

Cuando un empleado deja la organización, ¿de eliminar o desactivar su cuenta de Active Directory? Nuestro SOP es deshabilitar, exportación/purgar el buzón de correo de Exchange y, a continuación, después de que "en algún momento" ha transcurrido (generalmente trimestral), la eliminación de la cuenta.

¿Hay alguna necesidad de que el retraso? Después de exportar y purgar su buzón de correo, ¿por qué no puedo eliminar la cuenta y ahí?

36voto

Ari Puntos 156

Podemos deshabilitar las cuentas. Sus "descripciones" se actualiza para indicar la fecha de la salida, y que se mueve en el ANUNCIO de la jerarquía a una carpeta dependiendo de qué estado de la salida de éstas (ido+correo electrónico reenviado en algún lugar, se han ido+pre-archivo, archivados).

Tenemos una gran cantidad de archivos complejos y jerarquías de carpetas. Si se elimina la cuenta de Active Directory, y el archivo/carpeta con el consentimiento explícito por Acl usuario tendrá que ACL datos que se muestran como un SID. Y no he encontrado ninguna manera de averiguar a partir de un SID de la cuenta de que lo que solía ser, porque la cuenta ha sido eliminada.

De esta manera, cuando la gente está buscando en propiedad/problemas de permisos que se están comportando extrañamente, podemos ver (y eliminar) de propiedad y los permisos de las personas que ya no están presentes.

Actualización, mucho más tarde: me enteré de un colega que se somete a una auditoría de Microsoft que cuentas en tu ANUNCIO requieren un "por puesto" licencia (si balanceo de esa manera), si son o no de una persona real o no y si la persona todavía está presente. Así que no es un argumento para la eliminación!

17voto

dubRun Puntos 868

Una vez que salga, no les viene de nuevo normalmente. No veo ninguna razón para aferrarse a viejas cuentas. Esto es lo que hacemos:

Archivos:

  • Ir a través de su escritorio, en Mis Documentos y el Escritorio por lo general) y archivar sus datos al archivo de fileserve (sólo un par de discos de 1tb en RAID-5)
  • Copia de seguridad de su /carpeta de usuario en la regular servidor de archivos para el archivo.

Correos electrónicos:

  • Copia de seguridad de todos sus mensajes de correo electrónico (ya sea en pst o simplemente guardar su buzón de correo, dependiendo del sistema operativo) y ponerlo en un lugar seguro lugar. A veces, los gerentes necesitan el acceso a los ex-empleados de buzones de correo a recuperar mensajes de correo electrónico específica.
  • Si es necesario podemos configurar un email a un gerente o compañeros de trabajo cuenta hasta no hay más correo que viene a través.

11voto

sysadmin1138 Puntos 86362

Aquí en mi lugar de Mayor Ed tenemos una deshabilitar y conservar durante 2 semanas de la política.

  • Cuando su cuenta se enumeran en el Banner como "inactivo" a la noche siguiente, el procesamiento por lotes desencadenará el Deshabilitar el proceso.
    • Sus Novell cuentas son personas con discapacidad Y un inicio de sesión-restricción de tiempo poner en su lugar.
    • Su ANUNCIO de cuentas son personas con discapacidad Y un inicio de sesión-restricción de tiempo poner en su lugar.
    • Sus cuentas de Exchange se establecen con una Restricción de Entrega a sí mismos, obligando a todo el correo a esa cuenta para que rebote (nuevo con Exchange 2007, las cuentas deshabilitadas todavía puede recibir correo).
  • Dos semanas, tiempo transcurrido, tiempo durante el cual los gerentes pueden tirar de retención de los datos de las banderas. Tratamos con especial copos de nieve durante este intervalo.
  • Al final de dos semanas de cuentas de usuario de los directorios, y los buzones se purgan.

Los gerentes de solicitud de acceso a directorio de usuario se presentan los datos de un CD, y no de acceso directo. Demasiado a menudo en el pasado, dijo el gerente, utilice el directorio de usuario como otro almacén de archivos.

Los gerentes de solicitar acceso a los correos electrónicos se les da un PST de exportación de el buzón, y no de acceso directo.

Los gerentes de quejarse de que dijo de 20 años de trayectoria en el departamento fue el único punto de contacto para una cierta función crítica, y por lo tanto ellos necesitan para mantener el nombre de su alrededor de manera crítica los correos no rebotarán, tener en sus manos. Tratamos de poner una Oficina de Fuera De la regla en la movilidad de buzón de correo que indica que la persona ha dejado y póngase en contacto con la Persona B en su lugar. Nosotros, a continuación, establezca un disco duro eliminar-la fecha para la que cuenta adecuadamente lejos en el futuro para asegurarse de que todo el mundo sabe que Una Persona ya no está aquí. NO ponemos la dirección de correo electrónico en otro buzón si nos pueden ayudar. No siempre tenemos éxito.

A veces 20 años de trayectoria, fue el primer secretario de apoyo para un área, y por lo tanto era un Delegado de casi todo el mundo con un calendario en el que las necesidades de la gestión. Tan pronto como una cuenta como que queda desactivada, nadie envío de una cita a los administrados de los calendarios obtener inusual mensajes de devolución. Temporalmente volver a habilitar la cuenta se detiene el rebote de mensajes mientras escritorio personal de ir a través de la mano y quitar los Delegados de todos los buzones. Esto puede tomar un par de días para el escritorio personal para negociar con los titulares de dichos calendarios y hacer los ajustes necesarios. La cuenta, a continuación, volver a discapacitados y estará sujeto a la costumbre de 2 semanas de la eliminación. Esta es una característica de Exchange que yo particularmente no me gusta.

4voto

Mike1980 Puntos 707

Tenemos bastante estrictos requisitos de auditoría, y a menudo se les pide probar que un usuario estaba desactivado, y cuando. Para lidiar con este tendemos a deshabilitar la cuenta cuando nos dijeron que has dejado. Mover las cuentas deshabilitadas para su propia unidad organizativa, y la actualización de la descripción con la fecha en la que has dejado (que también viene en la mano para dejarnos deshabilitar las personas que desaparecer durante un periodo prolongado de tiempo y volver a habilitar cuando vienen de vuelta).

Una vez que haya pasado por 6 meses luego de eliminar.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: