เมื่อพนักงานออกจากองค์กรคุณลบหรือปิดใช้งานบัญชี Active Directory ของพวกเขาหรือไม่ SOP ของเราคือปิดใช้งานส่งออก / ล้างกล่องจดหมาย Exchange จากนั้นหลังจาก "เวลา" ผ่านไป (โดยปกติจะเป็นรายไตรมาส) ลบบัญชี
มีความต้องการความล่าช้าหรือไม่? หลังจากส่งออกและล้างกล่องจดหมายแล้วทำไมฉันจึงไม่ควรลบบัญชีทันที
คำตอบ:
เมื่อพวกเขาเลิกพวกเขาจะไม่กลับมาเป็นปกติ ฉันไม่เห็นเหตุผลที่จะไปยังบัญชีเก่า นี่คือสิ่งที่เราทำ:
ไฟล์:
อีเมล์:
เราปิดการใช้งานบัญชี "คำอธิบาย" ของพวกเขาได้รับการปรับปรุงเพื่อระบุวันที่ออกเดินทางและพวกเขาจะถูกย้ายในลำดับชั้นโฆษณาไปยังโฟลเดอร์ขึ้นอยู่กับสถานะของการออกเดินทางที่พวกเขาอยู่ (ไป + อีเมลส่งต่อไปที่ไหนสักแห่ง
เรามีไฟล์ที่ซับซ้อนจำนวนมากและลำดับชั้นของโฟลเดอร์ หากคุณลบบัญชีจาก Active Directory และไฟล์ / โฟลเดอร์ที่มี ACL ต่อผู้ใช้อย่างชัดเจนจะมีข้อมูล ACL นั้นแสดงเป็น SID และฉันไม่พบวิธีที่จะคิดออกจาก SID ว่าบัญชีใดเคยเป็น - เพราะบัญชีถูกลบไปแล้ว
วิธีนี้เมื่อผู้คนกำลังดูปัญหาการเป็นเจ้าของ / สิทธิ์ที่ทำงานผิดปกติเราสามารถเห็น (และลบ) ความเป็นเจ้าของและการอนุญาตของผู้ที่ไม่ได้อยู่อีกต่อไป
อัปเดตมากในภายหลัง:ฉันเรียนรู้จากเพื่อนร่วมงานที่อยู่ระหว่างการตรวจสอบจาก Microsoft ว่าบัญชีในโฆษณาของคุณจำเป็นต้องมีใบอนุญาต "ต่อที่นั่ง" (ถ้าคุณกำลังควงแบบนั้น) ไม่ว่าพวกเขาจะเป็นคนจริงหรือไม่หรือ ไม่ใช่คนที่ยังคงอยู่ ดังนั้นจึงมีข้อโต้แย้งที่ต้องทำเพื่อลบ!
ที่นี่ที่สถานที่ของฉันของฉันเอ็ดที่สูงขึ้นเรามีการปิดการใช้งานและเก็บไว้เป็นเวลา 2 สัปดาห์
ผู้จัดการที่ร้องขอการเข้าถึงข้อมูลไดเรกทอรีผู้ใช้จะได้รับซีดีไม่ใช่การเข้าถึงโดยตรง ไกลบ่อยเกินไปในอดีตกล่าวว่าผู้จัดการเพียงใช้ไดเรกทอรีผู้ใช้เป็นที่เก็บไฟล์อื่น
ผู้จัดการที่ร้องขอการเข้าถึงอีเมลจะได้รับการส่งออก PST ของกล่องจดหมายไม่ใช่การเข้าถึงโดยตรง
ผู้จัดการบ่นว่าทหารผ่านศึกในแผนก 20 ปีเป็นจุดติดต่อเพียงจุดเดียวสำหรับงานที่มีความสำคัญอย่างยิ่งดังนั้นพวกเขาจึงจำเป็นต้องเก็บชื่อไว้รอบ ๆ เพื่อไม่ให้อีเมลที่สำคัญไม่ถูกตีกลับ เราพยายามวางกฎ Out Of Office ไว้ในกล่องจดหมายที่ถูกปิดการใช้งานโดยระบุว่าบุคคลนั้นได้ออกไปแล้วและโปรดติดต่อบุคคล B แทน จากนั้นเราจะกำหนดวันที่ลบอย่างหนักสำหรับบัญชีนั้นอย่างเหมาะสมในอนาคตเพื่อให้แน่ใจว่าโลกรู้ว่าบุคคล A ไม่อยู่ที่นี่อีกต่อไป เราจะไม่ใส่ที่อยู่อีเมลนั้นในกล่องจดหมายอื่นหากเราสามารถช่วยได้ เราไม่ประสบความสำเร็จเสมอไป
บางครั้งประสบการณ์ 20 ปีเป็นนายกรัฐมนตรีสนับสนุนพื้นที่และดังนั้นจึงเป็นตัวแทนของทุกคนสวยมากด้วยปฏิทินที่ต้องจัดการ ทันทีที่บัญชีเช่นนั้นถูกปิดการใช้งานใครก็ตามที่ส่งการนัดหมายไปยังปฏิทินที่จัดการจะได้รับข้อความตีกลับที่ผิดปกติ การเปิดใช้งานบัญชีชั่วคราวจะหยุดข้อความเด้งขณะที่เจ้าหน้าที่เดสก์ท็อปดำเนินการและลบผู้รับมอบสิทธิ์ออกจากกล่องจดหมายทั้งหมด การดำเนินการนี้อาจใช้เวลาสองสามวันก่อนที่เจ้าหน้าที่เดสก์ท็อปจะเจรจากับเจ้าของปฏิทินดังกล่าวเพื่อเข้าร่วมและทำการตั้งค่าที่จำเป็น บัญชีจะถูกปิดใช้งานอีกครั้งและจะถูกลบภายใน 2 สัปดาห์ตามปกติ นี่คือ 'ฟีเจอร์' หนึ่งของการแลกเปลี่ยนที่ฉันไม่ชอบเป็นพิเศษ
ฉันไม่ใช่แฟนของการลบบัญชี AD ทันทีหลังจากพนักงานหรือผู้รับเหมาออกจาก บริษัท ฉันพบว่ามันเป็นการดีที่สุดที่จะปิดการใช้งานอย่างน้อย 30 วันแล้วลบบัญชีที่ถูกปิดใช้งาน 1-2 ครั้งต่อปี
มีสาเหตุสองประการที่ทำให้คุณไม่ต้องการลบบัญชีทันที:
1- นิติเวช หากองค์กรของคุณมีความจำเป็นต้องดำเนินการทางกฎหมายกับพนักงานหรือผู้รับเหมาคุณจะต้องมีบัญชีดั้งเดิม (SID)
2- งานอัตโนมัติ - ผู้ใช้งานโดยเฉพาะอย่างยิ่งคนงานด้านไอทีมักจะตั้งค่างานอัตโนมัติให้คิดเช่นงานที่ทำรายงานอัตโนมัติบริการรีไซเคิล ฯลฯ คุณจะอยู่ในสถานะผูกหากคุณลบบัญชีผู้ใช้ก่อนที่คุณจะรู้ว่ามีความซับซ้อน งานหรืองานที่เชื่อมโยงกับ ID ของ คุณไม่สามารถสร้างบัญชีที่มีชื่อเดียวกันได้อีกเพราะ SID จะไม่เหมือนกันและนั่นคือสิ่งที่งานอัตโนมัติดูไม่ใช่ชื่อที่ปรากฏของบัญชี
หากคุณปิดใช้งานก่อนคุณสามารถเปิดใช้งานบัญชีใหม่เปลี่ยนหรือกู้คืนรหัสผ่านและกลับมาทำธุรกิจของคุณจนกว่าคุณจะได้รับการเปลี่ยนงานเป็นบัญชีบริการที่ถูกกฎหมาย
เรามีข้อกำหนดการตรวจสอบที่เข้มงวดและมักถูกขอให้พิสูจน์ว่าผู้ใช้ถูกปิดการใช้งานและเมื่อใด เพื่อจัดการกับเรื่องนี้เรามักจะปิดการใช้งานบัญชีเมื่อเราบอกว่าพวกเขาได้ออกไปแล้ว ย้ายบัญชีที่ถูกปิดใช้งานไปยัง OU ของตนเองและอัปเดตคำอธิบายตามวันที่ที่พวกเขาออกไป (มันยังมีประโยชน์ในการให้เราปิดการใช้งานคนที่หายไปเป็นระยะเวลานานและเปิดใช้งานอีกครั้งเมื่อพวกเขากลับมา)
เมื่อพวกเขาผ่านไปแล้ว 6 เดือนเราจะลบพวกเขา
หากพวกเขาหายไปนานกว่า 3 เดือนฉันจะลบบัญชีของพวกเขา ระบบทั้งหมดของเรามีการเปลี่ยนเส้นทางเดสก์ท็อป GPO ที่บังคับใช้และโฟลเดอร์สำหรับ My Documents / Desktop ฯลฯ ดังนั้นหลังจากลบฉันเก็บถาวรเหล่านั้นไปยังปริมาณที่เก็บถาวรของฉันบนเซิร์ฟเวอร์ไฟล์
ฉันรู้เรื่องเกี่ยวกับการใช้กลุ่มความปลอดภัยตามบทบาทใน A / D สำหรับทุกสิ่งดังนั้นจึงไม่มีผู้ใช้ที่มีสิทธิ์ในระบบไฟล์หรือสิ่งอื่นใดที่ใช้โดยนัยดังนั้นจึงไม่มีการลบผู้ใช้ออก การตั้งค่านี้ต้องใช้ความคิดและรอยขีดข่วนเล็กน้อย - แต่ฉันขอแนะนำให้ทำเช่นนี้เพราะจะทำการจัดการสิทธิ์บนเครือข่าย Windows ได้อย่างแน่นอน
สำหรับการแลกเปลี่ยนฉันส่งออกกล่องจดหมายด้วย ExMerge และวาง. pst กับโฟลเดอร์ที่เก็บถาวรจากนั้นตั้งค่าการส่งต่อหรือการตีกลับข้อความขึ้นอยู่กับบทบาทของบุคคลที่เหลือ
นโยบายของมหาวิทยาลัยที่ฉันเข้าร่วมและทำงานเป็นดังนี้:
อาจมีปัญหาใหญ่มากในการลบบัญชีคอมพิวเตอร์: กฎหมาย
ภายใต้คำสั่งการคุ้มครองข้อมูลของสหภาพยุโรปบางประเทศสมาชิก (โดยเฉพาะโปแลนด์) จำเป็นต้องไม่กำหนด ID ผู้ใช้เดียวกันให้กับบุคคลอื่นและในเวลาเดียวกันให้บันทึกผู้ที่และเมื่อได้รับการเข้าถึงและเมื่อถูกเพิกถอนการเข้าถึง
กล่าวโดยย่อ: หากคุณจัดการกับข้อมูลส่วนบุคคลควรถามทนาย / ทีมกฎหมาย
หากคุณได้สำรองข้อมูลทั้งหมดของพวกเขาฉันไม่เห็นเหตุผลที่จะเก็บบัญชีไดเรกทอรีที่ใช้งานอยู่ อย่างไรก็ตามฉันจะให้บัญชีอีเมลของพวกเขาใช้งานได้และส่งต่อไปยังอีเมลของพวกเขากับคนอื่นในกรณีที่ลูกค้าติดต่อพวกเขาหรือผู้ร่วมงานคนอื่น
ฉันมีลูกค้าที่ให้คำปรึกษาสองรายซึ่งฉันเคยเป็นพนักงานเต็มเวลา หมายเลขพนักงานของฉันและทุกอย่างเหมือนกันและฉันค่อนข้างแน่ใจว่าพวกเขาไม่เคยลบบัญชี AD - พวกเขาเพียงแค่ปิดใช้งานพวกเขา - เมื่อฉันกลับมาพวกเขาเพิ่งคืนสถานะฉัน
ปัญหาเดียวที่ฉันเห็นคือการเป็นสมาชิกกลุ่มและการเข้าถึงทั้งหมดที่เชื่อมโยงกับ SID ของฉัน (ฉันคิดว่าการเป็นสมาชิกกลุ่ม AD เท่านั้น) ยังคงอยู่ที่นั่นดังนั้นถ้าฉันควรจะกลับมาในความสามารถที่ลดลง เป็นขั้นตอนสำคัญ
จากนั้นไม่ว่าคุณจะลบและสร้างใหม่หรือปิดการใช้งานและเปิดใช้งานหากชื่อ samaccountname ยังคงเหมือนเดิมระบบอื่น ๆ ทั้งหมดที่อ้างอิงว่าบัญชีผู้ใช้จะต้องถูกขัด
ฉันทำงานเป็นช่างเทคนิคการสนับสนุนระยะไกล (Elevated HelpDesk) สำหรับยูทิลิตี้พลังงานโชคลาภ 500 ด้วยลักษณะของธุรกิจของเราเรามีสถานการณ์ทุกประเภทตั้งแต่ผู้รับเหมาที่เข้ามาและมีประสบการณ์ 20 ปีตามที่อธิบายไว้ข้างต้น จากสิ่งที่ฉันได้เห็นนโยบายของเราถูกตัดและแห้งแล้ง
บัญชีทั้งหมดมีหมายเลขตั๋วและวันที่และประเภทการเปลี่ยนแปลงล่าสุดในฟิลด์คำอธิบาย เช่นChange Order 123456 Created on 00/00/00 by the access manager
Terminated on 00/00/00หรือRe-enabled on 00/00/00 by Manager's Name
ทันทีที่ได้รับแจ้งความแตกต่าง HelpDesk จะปิดการใช้งานบัญชี เมื่อได้รับการยืนยันหรือโดยอัตโนมัติหลังจากเวลาที่กำหนดผู้ใช้ไปยังบัญชีที่ถูกปิดใช้งาน OU และโฆษณาตัวหนอนสามตัวและวันที่สิ้นสุด ( ~~~00/00/00) เป็นชื่อที่แสดงเพื่อให้ทั้งฝ่ายไอทีและผู้ใช้ปลายทางสามารถระบุได้อย่างรวดเร็ว .
ฉันไม่สามารถให้ข้อมูลว่าเกิดอะไรขึ้นกับข้อมูล ฉันไม่ทำงานในแผนกนั้น แต่ฉันรู้หลังจากนั้นประมาณมอดบัญชีหายไปอย่างสมบูรณ์
แนวคิดของข้อมูลและการเก็บรักษาในขณะที่ยังคงปกป้ององค์กรจากพนักงานไม่พอใจควรเป็นส่วนหนึ่งของนโยบายไอทีขององค์กรใด ๆ แต่เวลาในระหว่างแต่ละขั้นตอนจะแตกต่างกันไปตาม บริษัท
มันช่วยเราในเดสก์ท็อปโดยเฉพาะเมื่อแก้ไขปัญหาการส่งข้อความ
หวังว่านี่จะช่วยได้
เรามีคนที่ถอนตัวเป็นประจำจากนั้นกลับไปที่ใดก็ได้จากหนึ่งสัปดาห์ถึงหกเดือนต่อมา เมื่อใดที่เราจะปิดการใช้งานบัญชีที่เรามีปัญหาบางอย่างที่ฉันจำไม่ได้ตอนนี้ ... อาจเป็นเรื่องที่เกี่ยวข้องกับอีเมลหรือไม่ คำเตือนอื่น ๆ ? เราเปลี่ยนขั้นตอนของเราแทนเพื่อให้รหัสผ่านถูกรีเซ็ตเป็นสิ่งที่คล้ายคลึงกับการพูดพล่อยๆและมีการบันทึกไว้ในฟิลด์คำอธิบายรายละเอียดสถานการณ์เพื่อให้ผู้อื่นแก้ไขข้อมูลผู้ใช้ของพวกเขาจะรู้ว่ามันสำหรับการอ้างอิง
ในที่สุดบัญชีก็ถูกนำออกใช้ไม่ว่าจะเกิดอะไรขึ้นเมื่อพวกเขาได้สำเร็จการศึกษา
การลบบัญชีไปแล้วและที่นั่น ... ฉันบอกได้ว่ามันเป็นเรื่องของนโยบาย แต่การปิดการใช้งานยังมีประโยชน์ในการ "เล่นอย่างปลอดภัย" ในกรณีที่มีข้อผิดพลาดหรือการเปลี่ยนแปลงของสถานการณ์ หรือมีหน่วยงานเพียงแค่ลบข้อมูลและทันใดนั้นมีคนต้องการเข้าถึงไฟล์หรือข้อมูลบางอย่างหรือจดหมาย ฯลฯ ... แต่สามารถจัดการได้ด้วยวิธีการอื่นหากคุณมีนโยบายในการกู้คืนข้อมูลเก่าและอะไรก็ตาม สำหรับเรามันง่ายกว่าที่จะเก็บบางส่วนของบัญชีไว้ชั่วขณะหนึ่งจนกว่ามันจะตัดสินว่าไม่จำเป็นอีกต่อไปลดความพยายามและปวดหัวในภายหลัง