Direktori Aktif: hapus vs. nonaktifkan karyawan yang berangkat [ditutup]

32

Ketika seorang karyawan meninggalkan organisasi Anda, apakah Anda menghapus atau menonaktifkan akun Active Directory mereka? SOP kami adalah untuk menonaktifkan, mengekspor / membersihkan kotak surat Exchange, dan kemudian setelah "beberapa waktu" berlalu (biasanya setiap tiga bulan), hapus akun tersebut.

Apakah perlu penundaan itu? Setelah mengekspor dan membersihkan kotak surat mereka, mengapa saya tidak menghapus akun saat itu juga?

active-directory best-practices Matt Rogish
sumber

Jawaban:

17

Begitu mereka berhenti, mereka tidak akan kembali biasanya. Saya tidak melihat alasan untuk menggantung ke akun lama. Inilah yang kami lakukan:

File:

  • Buka desktop mereka (biasanya My Documents and Desktop) dan arsipkan data lama mereka ke server file arsip (hanya beberapa drive 1tb di RAID-5)
  • Cadangkan folder / pengguna mereka di server file biasa ke arsip juga.

Email:

  • Cadangkan semua email mereka (baik dalam pst atau hanya menyimpan kotak surat mereka, tergantung pada OS) dan meletakkannya di tempat yang aman. Terkadang manajer memerlukan akses ke kotak surat mantan karyawan untuk mengambil email tertentu.
  • Jika perlu kami mengatur email ke akun manajer atau rekan kerja sampai tidak ada lagi surat yang masuk.
dubRun
sumber
2
Saya suka hal ke depan
Matt Rogish
-1 Re: "Saya tidak melihat alasan untuk menggantung ke rekening lama" Alasan yang sangat baik diberikan oleh David Mackintosh ...
Dscoduc
2
Juga jangan lupa untuk menyembunyikan nama mereka dari buku alamat pertukaran
benPearce
35

Kami menonaktifkan akun. "Deskripsi" mereka diperbarui untuk menunjukkan tanggal keberangkatan, dan mereka dipindahkan dalam hierarki AD ke folder tergantung pada keadaan keberangkatan mereka (pergi + email diteruskan ke suatu tempat, pergi + pra-arsip, diarsipkan).

Kami memiliki sejumlah besar hierarki file dan folder yang kompleks. Jika Anda menghapus akun dari Active Directory, dan file / folder dengan ACL per-pengguna eksplisit akan menampilkan data ACL sebagai SID. Dan saya belum menemukan cara untuk mencari tahu dari SID akun yang dulu - karena akun telah dihapus.

Dengan cara ini ketika orang melihat masalah kepemilikan / izin yang berperilaku aneh, kita dapat melihat (dan menghapus) kepemilikan dan izin orang-orang yang tidak lagi ada.

Perbarui, jauh kemudian: Saya mengetahui dari seorang kolega yang sedang menjalani audit dari Microsoft bahwa akun di AD Anda memerlukan lisensi "per kursi" (jika Anda berayun seperti itu), terlepas apakah mereka orang sungguhan dan apakah atau tidak bukan orang tersebut masih ada. Jadi ada argumen yang harus dibuat untuk dihapus!

David Mackintosh
sumber
3
Poin bagus dengan SID pada ACL eksplisit
Matt Rogish
2
Manajer saya juga menggunakan argumen ini. Sejujurnya saya tidak mendukung hanya menonaktifkan akun dan lebih baik menghapusnya. Praktik terbaik menyarankan Anda tidak boleh secara eksplisit mengizinkan pengguna pada ACL dan jika SID hanya ditampilkan, mengapa tidak menghapusnya?
fenster
4
Karena "Praktik Terbaik" tidak selalu terjadi di dunia nyata, terutama jika Anda memiliki pengguna sendiri yang mempermainkan izin. Meninggalkan nama pengguna di sana berarti Anda dapat mencari orang yang bertanggung jawab dan (minta mereka) memutuskan apa yang harus terjadi sekarang setelah yang sudah pergi ... erm ... pergi.
David Mackintosh
2
Akun yang dinonaktifkan membutuhkan kal? Sepertinya itu tidak benar. Saya mengerti akun yang diaktifkan, tapi benarkah?
Jason Berg
1
Apakah MS memberikan rincian mengapa itu terjadi? Saya selalu mendengar bahwa per pengguna adalah per orang, bukan per akun pengguna.
David
11

Di sini, di tempat Ed Tinggi saya memiliki kebijakan menonaktifkan dan mempertahankan selama 2 minggu.

  • Ketika akun mereka terdaftar di Banner sebagai 'tidak aktif', pemrosesan batch malam berikutnya akan memadamkan proses Nonaktifkan.
    • Akun Novell mereka dinonaktifkan DAN pembatasan waktu masuk diterapkan.
    • Akun AD mereka dinonaktifkan DAN pembatasan waktu masuk diterapkan.
    • Akun Exchange mereka diatur dengan Pembatasan Pengiriman untuk diri mereka sendiri, memaksa semua email ke akun itu untuk bouncing (baru dengan Exchange 2007, akun yang dinonaktifkan masih dapat menerima email).
  • Dua minggu berlalu, selama itu manajer dapat melempar bendera penyimpanan data. Kami menangani kepingan salju khusus selama interval ini.
  • Di akhir akun dua minggu, direktori pengguna, dan kotak surat dihapus.

Manajer yang meminta akses ke data direktori pengguna diberikan CD, bukan akses langsung. JAUH terlalu sering di masa lalu mengatakan manajer hanya menggunakan direktori pengguna sebagai file store lain.

Manajer yang meminta akses ke email diberi PST ekspor kotak surat, dan bukan akses langsung.

Para manajer mengeluh bahwa veteran departemen yang berusia 20 tahun itu adalah satu-satunya titik kontak untuk fungsi kritis tertentu, dan oleh karena itu mereka perlu menjaga nama itu tetap ada agar kiriman kritis tidak terpental, segera pegang tangan mereka. Kami mencoba meletakkan aturan Di Luar Kantor di kotak surat yang dinonaktifkan yang menyatakan bahwa orang tersebut telah pergi dan silakan hubungi Orang B sebagai gantinya. Kami kemudian menetapkan tanggal penghapusan yang sulit untuk akun yang sesuai di masa mendatang untuk memastikan bahwa dunia tahu bahwa Orang A tidak lagi ada di sini. Kami TIDAK menempatkan alamat email itu di kotak surat lain jika kami dapat membantu. Kami tidak selalu berhasil.

Kadang-kadang veteran 20 tahun itu adalah pendukung sekretaris utama untuk suatu daerah, dan karena itu adalah seorang delegasi dari hampir semua orang dengan kalender yang perlu dikelola. Segera setelah akun seperti itu dinonaktifkan, siapa pun yang mengirim janji temu ke kalender terkelola akan mendapatkan pesan pentalan yang tidak biasa. Mengaktifkan kembali sementara akun menghentikan pesan pentalan sementara staf desktop melalui dan menghapus secara otomatis Delegasi dari semua kotak surat. Ini bisa memakan waktu beberapa hari bagi staf desktop untuk bernegosiasi dengan pemilik kalender tersebut untuk masuk dan melakukan pengaturan yang diperlukan. Akun tersebut kemudian dinonaktifkan kembali dan akan dikenakan penghapusan 2 minggu seperti biasa. Ini adalah salah satu 'fitur' Exchange yang secara khusus tidak saya sukai.

sysadmin1138
sumber
7

Saya bukan penggemar segera menghapus akun AD setelah karyawan atau kontraktor meninggalkan perusahaan. Saya telah menemukan bahwa yang terbaik untuk menonaktifkan setidaknya 30 hari dan kemudian menghapus akun yang dinonaktifkan 1-2 kali setahun.

Ada beberapa alasan mengapa Anda tidak ingin segera menghapus akun:

1- Forensik. Jika organisasi Anda memiliki kebutuhan untuk melakukan tindakan hukum terhadap karyawan atau kontraktor Anda akan memerlukan akun asli (SID).

2 - Tugas Otomatis- Pengguna, terutama pekerja IT, cenderung untuk mengatur tugas otomatis untuk melakukan berpikir seperti menjalankan pekerjaan, laporan otomatis, layanan daur ulang, dll. Anda akan terikat jika Anda menghapus akun pengguna sebelum Anda menyadari ada kompleks pekerjaan atau tugas yang terkait dengan ID. Anda tidak dapat dengan mudah membuat kembali akun dengan nama yang sama karena SID tidak akan sama dan itulah yang terlihat pada tugas otomatis bukan nama akun yang terlihat.

Jika Anda menonaktifkan terlebih dahulu, Anda selalu dapat mengaktifkan kembali akun, mengubah atau memulihkan kata sandi, dan kembali bekerja sampai Anda mendapatkan pekerjaan dialihkan ke akun layanan yang sah.


sumber
4

Kami memiliki persyaratan audit yang sangat ketat, dan sering diminta untuk membuktikan bahwa pengguna dinonaktifkan, dan kapan. Untuk mengatasinya, kita cenderung menonaktifkan akun ketika kita diberitahu bahwa mereka telah pergi. Pindahkan akun yang dinonaktifkan ke OU mereka sendiri, dan perbarui deskripsi dengan tanggal yang telah mereka tinggalkan (itu juga berguna untuk membiarkan kami menonaktifkan orang yang menghilang untuk jangka waktu lama dan mengaktifkannya kembali ketika mereka kembali).

Setelah mereka pergi selama 6 bulan maka kami menghapusnya.

Mike1980
sumber
Tidak bisakah tanggal itu "dimainkan" atau apakah AD, di dalam, menyimpan tanggal yang tidak aktif yang tidak mudah diedit oleh Admin? Saya kira Anda bisa melihat tanggal modifikasi terakhir tetapi jika Anda pernah menyentuhnya Anda kehilangan sejarah itu
Matt Rogish
Itu bisa dengan mudah diubah, untungnya itu belum muncul :-) Jika pernah ditanya selalu ada atribut terakhir yang dimodifikasi dari objek pengguna yang harus memiliki tanggal yang sama dengan tanggal di bidang deskripsi ketika akun dinonaktifkan .
Mike1980
Tentu saja tidak ada yang menghentikan admin untuk mengubah tanggal di DC, memodifikasi akun, dan mengubah tanggal kembali ... Forensik benar-benar sulit hari ini.
Chris S
4

Jika hilang selama lebih dari 3 bulan, saya menghapus akun mereka. Semua sistem kami memiliki pengalihan desktop dan folder yang diberlakukan GPO untuk My Documents / Desktop dll, jadi setelah menghapus saya mengarsipkannya ke volume arsip saya di server file.

Saya jago tentang penggunaan grup keamanan berbasis peran pada A / D untuk semuanya, jadi tidak ada pengguna yang memiliki izin untuk sistem file atau hal lain yang diterapkan secara implisit, jadi tidak ada masalah besar yang menghapus pengguna. Pengaturan ini membutuhkan sedikit pemikiran dan head-scratching - tetapi saya benar-benar merekomendasikan seseorang melakukannya, karena hal itu membuat mengelola izin pada Windows Network menjadi mudah.

Untuk pertukaran, saya mengekspor kotak surat dengan ExMerge, dan meletakkan .pst dengan folder yang diarsipkan, kemudian mengatur penerusan atau memantulkan pesan tergantung pada peran orang yang telah pergi.

ColtonCat
sumber
3

Kebijakan di universitas tempat saya kuliah dan bekerja adalah sebagai berikut:

Siswa

  • saat penarikan
    • nonaktifkan akun
    • 30 hari kemudian, hapus jika tidak terdaftar kembali
  • kelulusan + 90 hari
    • nonaktifkan akun
    • buat alamat penerusan "tawas"
    • hapus 30 hari kemudian

Staf / Fakultas

  • saat pergi
    • nonaktifkan akun
    • hapus 30 hari kemudian
warren
sumber
3

Mungkin ada masalah yang sangat besar dengan menghapus akun komputer: hukum.

Di bawah Petunjuk Perlindungan Data Uni Eropa , beberapa negara anggota (khususnya Polandia) mengharuskan untuk tidak pernah memberikan ID pengguna yang sama kepada siapa pun dan pada saat yang sama, menyimpan catatan siapa dan kapan diberi akses dan kapan akses dicabut.

Singkatnya: jika Anda berurusan dengan data pribadi, lebih baik tanyakan kepada pengacara / tim hukum.

Hubert Kario
sumber
Apakah ada yang punya sumber untuk persyaratan Polandia? Saya tidak dapat menemukan persyaratan ini di EU Directive, atau undang-undang yang menerapkan arahan untuk Polandia atau Inggris.
Adam Thompson
1
@AdamThompson: sayangnya saya tidak dapat menemukannya dalam bahasa Inggris, tapi ini dia dalam bahasa Polandia: giodo.gov.pl/144/id_art/1002/j/pl (Dz. U. z 2004 r. Nr 100, poz. 1024 ) Anda dapat menemukannya di Lampiran A, § IV, poin 1: "Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.", google translate melakukan pekerjaan yang layak.
Hubert Kario
1
Koreksi, saya menemukan mereka di sini: giodo.gov.pl/409/id_art/209/j/en
Hubert Kario
Terima kasih banyak, Hubert. Bacaan saya tentang ini akan menyarankan bahwa Anda tidak dapat menggunakan kembali akun yang sama, tetapi membuat akun baru dengan nama yang sama tidak masalah. Akun "[email protected]" yang lama akan dihapus, dan mungkin nanti, akun "[email protected]" yang baru akan dibuat - tetapi akan memiliki SID atau UID yang berbeda dan karenanya akan menjadi "Identyfikator" yang berbeda. / ID. Mungkin itu salah satu alasan bagi para pengacara untuk berdebat, meskipun bagaimana itu akan bekerja dalam kasus sistem hukum perdata (yang bertentangan dengan umum), saya tidak yakin.
Adam Thompson
1
@AdamThompson: Saya cukup yakin itu bacaan yang salah. Lihat II.2. "b) akses ke data hanya tersedia setelah memasukkan pengidentifikasi dan otentikasi pengguna." Anda tidak memasukkan SID / UID, Anda memasukkan nama pengguna yang dapat dibaca manusia, sehingga Anda tidak dapat memiliki dua pengguna dengan "[email protected]". Sekarang, jika Anda dapat membuat beberapa akun yang memiliki SID / UID yang sama ... yang saya tidak tahu, tetapi mungkin juga tidak diizinkan.
Hubert Kario
2

Jika Anda telah mencadangkan semua data mereka, saya tidak melihat alasan untuk menyimpan akun direktori aktif. Namun saya akan membuat akun email mereka aktif dan meneruskan email mereka ke orang lain jika klien menghubungi mereka atau rekan lain.

Highstead
sumber
2

Saya memiliki dua klien konsultan yang saya dulunya adalah karyawan penuh waktu. Nomor personel saya dan semuanya sama, dan saya cukup yakin mereka tidak pernah menghapus akun AD - mereka hanya menonaktifkannya - ketika saya kembali mereka hanya mengembalikan saya.

Satu-satunya masalah yang saya lihat di sana adalah bahwa semua keanggotaan dan akses grup saya yang terkait dengan SID saya (hanya keanggotaan grup AD, saya kira) masih ada, jadi jika saya seharusnya kembali dalam kapasitas yang dikurangi, meninjau keanggotaan tersebut akan menjadi langkah kritis.

Kemudian, terlepas dari apakah Anda menghapus dan membuat ulang atau apakah Anda menonaktifkan dan mengaktifkan, jika samaccountname tetap sama, SEMUA sistem lain yang merujuk bahwa akun pengguna harus dihapus.

Jason Kleban
sumber
2

Saya bekerja sebagai teknisi dukungan jarak jauh (Elevated HelpDesk) untuk utilitas energi 500 keberuntungan. Melihat sifat bisnis kami, kami memiliki semua jenis skenario mulai dari kontraktor yang datang dan pergi ke veteran 20 tahun seperti dijelaskan di atas. Dari apa yang saya lihat kebijakan kami dipotong dan kering.

Semua akun memiliki nomor tiket terakhir dan tanggal serta jenis perubahan di bidang uraian. Misalnya Change Order 123456 Created on 00/00/00 by the access manager Terminated on 00/00/00atauRe-enabled on 00/00/00 by Manager's Name

Segera setelah pemberitahuan perbedaan, HelpDesk menonaktifkan akun. Setelah konfirmasi atau secara otomatis setelah waktu yang ditentukan pengguna ke akun yang dinonaktifkan OU dan iklan tiga tildes dan tanggal penghentian ( ~~~00/00/00) ke nama tampilan untuk memungkinkan TI dan pengguna akhir dengan cepat mengidentifikasi sekilas pengguna tidak lagi penyendiri dengan perusahaan. .

Saya tidak dapat memberikan informasi tentang apa yang terjadi pada data. Saya tidak bekerja di departemen itu. Tapi saya tahu setelah ngengat, akunnya hilang sama sekali.

Konsep data dan retensi ini, sambil tetap melindungi organisasi dari karyawan yang tidak puas harus menjadi bagian dari kebijakan TI organisasi mana pun. Tetapi waktu di antara setiap langkah akan bervariasi oleh perusahaan.

Ini benar-benar membantu kami di desktop terutama saat mengatasi masalah pengiriman pesan.

Semoga ini membantu

Kokan90
sumber
1

Kami memiliki orang yang secara rutin menarik lalu kembali dari seminggu hingga enam bulan kemudian. Ketika kami akan menonaktifkan akun, kami memiliki beberapa masalah yang saya tidak ingat sifatnya sekarang ... mungkin terkait email? Beberapa peringatan lain? Kami mengubah prosedur kami sehingga kata sandi diatur ulang ke sesuatu yang mirip dengan omong kosong dan catatan ditempatkan ke dalam bidang deskripsi yang merinci situasi sehingga siapa pun yang mengedit informasi pengguna mereka akan mengetahuinya untuk referensi.

Akun tersebut akhirnya diluncurkan tidak peduli apa pun yang seharusnya mereka lulus.

Menghapus akun saat itu juga ... Saya akan mengatakan itu masalah kebijakan, tetapi menunda juga memiliki manfaat "bermain aman" jika ada kesalahan atau perubahan situasi. Atau ada percabangan untuk hanya menghapus data dan tiba-tiba seseorang membutuhkan akses ke file atau informasi atau surat tertentu, dll ... tetapi itu dapat ditangani melalui cara lain jika Anda memiliki kebijakan untuk mengembalikan informasi lama dan yang lainnya. Bagi kami, lebih mudah menyimpan beberapa bagian dari akun untuk sementara sampai diselesaikan bahwa itu tidak diperlukan lagi, mengurangi upaya dan sakit kepala nanti.

Bart Silverstrim
sumber