Active Directory: eliminar vs deshabilitar empleados fallecidos [cerrado]

Cuando un empleado deja su organización, ¿elimina o deshabilita su cuenta de Active Directory? Nuestro SOP es deshabilitar, exportar / purgar el buzón de Exchange y luego, después de que haya transcurrido "algún tiempo" (generalmente trimestralmente), elimine la cuenta.

¿Hay alguna necesidad de ese retraso? Después de exportar y purgar su buzón, ¿por qué no debería eliminar la cuenta en ese momento?

Una vez que dejan de fumar, generalmente no regresan. No veo ninguna razón para aferrarse a viejas cuentas. Esto es lo que hacemos:

Archivos:

• Revise su escritorio (Mis documentos y Escritorio generalmente) y archive sus datos antiguos en el servidor de archivos (solo unas pocas unidades de 1 tb en RAID-5)
• Haga una copia de seguridad de su carpeta / usuario en el servidor de archivos normal en el archivo también.

Correos electrónicos:

• Haga una copia de seguridad de todos sus correos electrónicos (ya sea en pst o simplemente guarde su buzón, según el sistema operativo) y guárdelo en un lugar seguro. A veces, los gerentes necesitan acceso a los buzones de los ex empleados para recuperar correos electrónicos específicos.
• Si es necesario, configuramos un reenvío de correo electrónico a una cuenta de administrador o compañeros de trabajo hasta que no llegue más correo.

Deshabilitamos las cuentas. Sus "descripciones" se actualizan para indicar la fecha de salida, y se mueven en la jerarquía de AD a una carpeta según el estado de partida en el que se encuentran (desaparecido + correo electrónico reenviado a algún lugar, desaparecido + prearchivo, archivado).

Tenemos una gran cantidad de archivos complejos y jerarquías de carpetas. Si elimina la cuenta de Active Directory, y los archivos / carpetas con ACL explícitas por usuario mostrarán los datos de ACL como un SID. Y no he encontrado ninguna manera de averiguar desde un SID qué cuenta solía ser, porque la cuenta ha sido eliminada.

De esta manera, cuando las personas observan problemas de propiedad / permisos que se comportan de manera extraña, podemos ver (y eliminar) las propiedades y permisos de las personas que ya no están presentes.

Actualización, mucho más tarde: un colega que se está sometiendo a una auditoría de Microsoft me enteró de que las cuentas en su AD requieren una licencia "por puesto" (si está cambiando de esa manera), si son o no una persona real y si No la persona todavía está presente. ¡Entonces hay un argumento para eliminar!

Aquí en mi lugar de Higher Ed tenemos una política de deshabilitar y retener por 2 semanas.

• Cuando su cuenta aparece en el Banner como 'inactiva', el procesamiento por lotes de la noche siguiente activará el proceso de Deshabilitar.
  • Sus cuentas de Novell están deshabilitadas Y se establece una restricción de tiempo de inicio de sesión.
  • Sus cuentas de AD están deshabilitadas Y se establece una restricción de tiempo de inicio de sesión.
  • Sus cuentas de Exchange se configuran con una restricción de entrega para sí mismos, lo que obliga a que todo el correo a esa cuenta se devuelva (nuevo con Exchange 2007, las cuentas deshabilitadas aún pueden recibir correo).
• Transcurren dos semanas, durante las cuales los gerentes pueden arrojar banderas de retención de datos. Nos ocupamos de los copos de nieve especiales durante este intervalo.
• Al final de dos semanas, se purgan las cuentas, los directorios de usuarios y los buzones.

Los gerentes que solicitan acceso a los datos del directorio de usuarios reciben un CD, no acceso directo. Con demasiada frecuencia en el pasado, los gerentes simplemente usaban el directorio de usuarios como otro almacén de archivos.

Los gerentes que solicitan acceso a correos electrónicos reciben una exportación PST del buzón y no acceso directo.

Los gerentes se quejan de que el veterano de 20 años del departamento era el único punto de contacto para una determinada función crítica y, por lo tanto, deben mantener el nombre para que los correos críticos no sean rebotados, agarrados de la mano. Intentamos poner una regla de Fuera de la oficina en el buzón deshabilitado que indique que la persona se fue y, en su lugar, comuníquese con la Persona B. Luego establecemos una fecha de eliminación para esa cuenta adecuadamente en el futuro para asegurarnos de que el mundo sepa que la Persona A ya no está aquí. NO ponemos esa dirección de correo electrónico en otro buzón si podemos ayudarlo. No siempre tenemos éxito.

A veces, ese veterano de 20 años era el primer secretario de apoyo para un área y, por lo tanto, era un delegado de casi todas las personas con un calendario que necesita administración. Tan pronto como se deshabilite una cuenta como esa, cualquiera que envíe una cita a los calendarios administrados recibirá mensajes de devolución inusuales. La reactivación temporal de la cuenta detiene los mensajes de devolución mientras el personal de escritorio revisa y elimina a mano los Delegados de todos los buzones. Esto puede tomar un par de días para que el personal de escritorio negocie con los propietarios de dichos calendarios para ingresar y realizar las configuraciones necesarias. La cuenta se vuelve a deshabilitar y estará sujeta a la eliminación habitual de 2 semanas. Esta es una 'característica' de Exchange que particularmente no me gusta.

No soy fanático de eliminar de inmediato una cuenta de AD después de que un empleado o contratista deja la empresa. Descubrí que es mejor deshabilitar durante al menos 30 días y luego eliminar las cuentas deshabilitadas 1-2 veces al año.

Hay un par de razones por las que no desea eliminar una cuenta de inmediato:

1- forense. Si su organización necesita emprender acciones legales contra un empleado o contratista, necesitará la cuenta original (SID).

2- Tareas automatizadas: los usuarios, especialmente los trabajadores de TI, tienden a configurar tareas automatizadas para realizar tareas como ejecutar trabajos, automatizar informes, reciclar servicios, etc. Estará en apuros si elimina la cuenta de usuario antes de darse cuenta de que era complejo trabajos o tareas vinculados a las identificaciones. No puede simplemente volver a crear la cuenta con el mismo nombre porque el SID no será el mismo y eso es lo que las tareas automatizadas ven, no el nombre visible de la cuenta.

Si deshabilita primero, siempre puede volver a habilitar la cuenta, cambiar o recuperar la contraseña y volver a estar en el negocio hasta que el trabajo pase a una cuenta de servicio legítima.

Tenemos requisitos de auditoría bastante estrictos y, a menudo, se nos pide que prueben que un usuario fue deshabilitado y cuándo. Para lidiar con esto, tendemos a deshabilitar la cuenta cuando nos dicen que se han ido. Mueva las cuentas deshabilitadas a su propia unidad organizativa y actualice la descripción con la fecha en que se fueron (también es útil para permitirnos deshabilitar a las personas que desaparecen durante un período prolongado de tiempo y volver a habilitarlas cuando regresen).

Una vez que han pasado 6 meses, los eliminamos.

Si se han ido por más de 3 meses, elimino sus cuentas. Todos nuestros sistemas tienen redireccionamiento de escritorio y carpeta forzado por GPO para Mis documentos / Escritorio, etc., por lo que después de eliminarlos los archivo en mi volumen de archivo en el servidor de archivos.

Soy pedante sobre el uso de grupos de seguridad basados ​​en roles en A / D para todo, por lo que no hay usuarios que tengan permisos para el sistema de archivos o cualquier otra cosa implícitamente aplicada, por lo que no es gran cosa eliminar un usuario. Configurar esto requiere un poco de reflexión y rascarse la cabeza, pero realmente recomiendo que lo haga, ya que facilita la administración de permisos en una red de Windows.

En cuanto al intercambio, exporto el buzón con ExMerge y pongo el .pst con la carpeta archivada, luego configuro el reenvío o la devolución de mensajes dependiendo del rol de la persona que se ha ido.

La política en la universidad a la que asistí y trabajé es la siguiente:

Estudiantes

• al retirar
  • Deshabilitar cuenta
  • 30 días después, elimine si no se vuelve a inscribir
• graduación + 90 días
  • Deshabilitar cuenta
  • crear dirección de reenvío de "alumbre"
  • eliminar 30 días después

Personal / Facultad

• al salir
  • Deshabilitar cuenta
  • eliminar 30 días después

Puede haber un gran problema con la eliminación de cuentas de computadora: la ley.

Según la Directiva de protección de datos de la UE , algunos estados miembros (Polonia en particular) requieren nunca asignar la misma identificación de usuario a nadie más y, al mismo tiempo, mantener un registro de quién y cuándo se les otorgó acceso y cuándo se revocó el acceso.

En resumen: si trata con datos personales, mejor consulte a un abogado / equipo legal.

Si ha realizado una copia de seguridad de todos sus datos, no veo ningún motivo para mantener la cuenta del directorio activo. Sin embargo , mantendría su cuenta de correo electrónico activa y la reenviaría a otra persona en caso de que un cliente se contacte con ellos u otro asociado.

Tengo dos clientes de consultoría de los cuales solía ser un empleado a tiempo completo. Mi número de personal y todo es igual, y estoy bastante seguro de que nunca eliminan las cuentas de AD, solo las deshabilitan, cuando regresé me restablecieron.

El único problema que veo allí es que todas las membresías y accesos de mi grupo que están vinculados a mi SID (creo que solo membresías de grupo AD) todavía están allí, por lo que si se suponía que debía regresar en una capacidad reducida, revisar esas membresías sería Ser un paso crítico.

Luego, independientemente de si elimina y vuelve a crear o si deshabilita y habilita, si el samaccountname permanece igual, TODOS los demás sistemas que hacen referencia a esa cuenta de usuario tendrían que eliminarse.

Trabajo como técnico de soporte remoto (Elevated HelpDesk) para una compañía de energía Fortune 500. En vista de la naturaleza de nuestro negocio, tenemos todo tipo de escenarios que van desde contratistas que van y vienen al veterano de 20 años como se describe anteriormente. Por lo que he visto, nuestra política es cortada y seca.

Todas las cuentas tienen el último número de ticket, fecha y tipo de cambio en el campo de descripción. Por ejemplo Change Order 123456 Created on 00/00/00 by the access manager Terminated on 00/00/00oRe-enabled on 00/00/00 by Manager's Name

Inmediatamente después de la notificación de una discrepancia, el servicio de asistencia desactiva la cuenta. Tras la confirmación o automáticamente después de un tiempo establecido, el usuario pasa a la unidad organizativa de cuentas deshabilitadas y anuncia tres tildes y la fecha de finalización ( ~~~00/00/00) al nombre para mostrar para que tanto los usuarios de TI como los usuarios finales puedan identificar rápidamente de un vistazo que el usuario ya no está en la empresa .

No puedo proporcionar información sobre lo que sucede con los datos. Yo no trabajo en ese departamento. Pero sé después de una polilla que la cuenta se ha ido por completo.

Estos conceptos de datos y retención, a la vez que protegen a la organización de un empleado descontento, deberían formar parte de las políticas de TI de cualquier organización. Pero el tiempo entre cada paso variará según la compañía.

Realmente nos ayuda en el escritorio, especialmente al solucionar problemas de mensajería.

Espero que esto ayude

Tenemos personas que se retiran habitualmente y luego regresan en cualquier lugar de una semana a seis meses después. Cuando deshabilitamos las cuentas tuvimos un problema que no puedo recordar la naturaleza de ahora ... ¿posiblemente relacionado con el correo electrónico? Alguna otra advertencia? En su lugar, cambiamos nuestro procedimiento para que la contraseña se restablezca a algo parecido a galimatías y se coloque una nota en el campo de descripción que detalla la situación para que cualquier otra persona que edite su información de usuario la conozca como referencia.

La cuenta finalmente se implementa sin importar qué una vez se supone que se hayan graduado.

Eliminar la cuenta en ese momento ... Diría que es una cuestión de política, pero esperar también tiene el beneficio de "ir a lo seguro" en caso de que haya un error o un cambio de situación. O bien, existe la ramificación de simplemente eliminar los datos y, de repente, alguien necesita acceder a ciertos archivos o información o correo, etc., pero eso se puede manejar a través de otros medios si tiene políticas establecidas para restaurar información antigua y otras cosas. Para nosotros es más fácil mantener partes de la cuenta por un tiempo hasta que se determine que ya no será necesario, lo que reduce el esfuerzo y el dolor de cabeza más adelante.