Active Directory: excluir vs. desativar funcionários demitidos [fechado]

32

Quando um funcionário sai da sua organização, você exclui ou desativa a conta do Active Directory? Nosso SOP é desativar, exportar / limpar a caixa de correio do Exchange e, depois de decorrido "algum tempo" (geralmente trimestralmente), excluir a conta.

Existe alguma necessidade desse atraso? Após exportar e limpar a caixa de correio, por que não devo excluir a conta naquele momento?

active-directory best-practices Matt Rogish
fonte

Respostas:

17

Uma vez que eles param, eles não voltam normalmente. Não vejo razão para ficar com contas antigas. Aqui está o que fazemos:

Arquivos:

  • Percorra a área de trabalho (Meus Documentos e Área de Trabalho normalmente) e arquive seus dados antigos no servidor de arquivos (apenas algumas unidades de 1 TB no RAID-5)
  • Faça backup de sua pasta / user no servidor de arquivos regular para o arquivo também.

Emails:

  • Faça backup de todos os seus e-mails (no pst ou salve a caixa de correio, dependendo do sistema operacional) e coloque-os em um local seguro. Às vezes, os gerentes precisam acessar caixas de correio de ex-funcionários para recuperar emails específicos.
  • Se necessário, configuramos um email para a conta de um gerente ou colegas de trabalho até que não haja mais emails chegando.
dubRun
fonte
2
Eu gosto da coisa para a frente
Matt Rogish
-1 Re: "Eu não vejo nenhuma razão para pendurar contas antigas" Uma boa razão é dada por David Mackintosh ...
Dscoduc
2
Também não se esqueça de esconder seu nome do livro de endereços de câmbio
benPearce
35

Desativamos as contas. Suas "descrições" são atualizadas para indicar a data da partida e são movidas na hierarquia do AD para uma pasta, dependendo do estado de partida em que se encontram (desaparecido + email encaminhado em algum lugar, desaparecido + pré-arquivado, arquivado).

Temos uma grande quantidade de arquivos complexos e hierarquias de pastas. Se você excluir a conta do Active Directory, e um arquivo / pasta com ACLs explícitas por usuário, esses dados da ACL serão exibidos como um SID. E não encontrei nenhuma maneira de descobrir, de um SID, qual conta costumava ser - porque a conta foi excluída.

Dessa forma, quando as pessoas analisam problemas de propriedade / permissões que estão se comportando de maneira estranha, podemos ver (e excluir) propriedades e permissões de pessoas que não estão mais presentes.

Atualização, muito mais tarde: soube de um colega que está sendo submetido a uma auditoria da Microsoft que as contas no seu AD exigem uma licença "por assento" (se você estiver mudando dessa maneira), se é ou não uma pessoa real e se é ou não não a pessoa ainda está presente. Portanto, há um argumento a ser feito para exclusão!

David Mackintosh
fonte
3
Bom ponto com o SID em ACLs explícitas
Matt Rogish
2
Meu gerente também usa esse argumento. Para ser sincero, não sou a favor de apenas desativar as contas e prefiro excluí-las. As práticas recomendadas sugerem que você não deve permitir explicitamente os usuários nas ACLs e, se o SID está sendo exibido, por que não removê-lo?
fenster 10/09/09
4
Porque "Boas práticas" nem sempre acontecem no mundo real, especialmente se você tem usuários brincando com as próprias permissões. Deixar o nome de usuário lá significa que você pode procurar uma pessoa responsável e (tê-la) decidir o que deve acontecer agora que a partida partiu ... erm ... partiu.
David Mackintosh
2
Contas desativadas exigem uma chamada? Isso não parece certo. Entendo contas ativadas, mas sério?
Jason Berg
1
A MS deu detalhes sobre o porquê desse caso? Eu sempre ouvi dizer que por usuário era por pessoa, não por conta de usuário.
David
11

Aqui no meu local de ensino superior, temos uma política de desativar e reter por 2 semanas.

  • Quando a conta deles é listada no Banner como 'inativa', o processamento em lote da noite seguinte dispara o processo Desativar.
    • Suas contas da Novell estão desabilitadas E uma restrição de horário de login é implementada.
    • Suas contas do AD estão desabilitadas E uma restrição de tempo de login é implementada.
    • Suas contas do Exchange são definidas com uma restrição de entrega, forçando o retorno de todos os emails para essa conta (novos no Exchange 2007, as contas desativadas ainda podem receber emails).
  • Duas semanas se passam, durante as quais os gerentes podem lançar sinalizadores de retenção de dados. Lidamos com flocos de neve especiais durante esse intervalo.
  • No final de duas semanas, as contas, os diretórios do usuário e as caixas de correio são eliminados.

Os gerentes que solicitam acesso aos dados do diretório do usuário recebem um CD, não o acesso direto. Com muita frequência, no passado, os gerentes usavam o diretório de usuários como mais um repositório de arquivos.

Os gerentes que solicitam acesso a emails recebem uma exportação PST da caixa de correio e não o acesso direto.

Os gerentes queixam-se de que o veterano de 20 anos do departamento era o único ponto de contato para uma determinada função crítica e, portanto, eles precisam manter o nome por perto para que os e-mails críticos não sejam devolvidos, e mantenha suas mãos em mãos. Tentamos colocar uma regra de Ausência Temporária na caixa de correio desabilitada, informando que a pessoa saiu e entre em contato com a Pessoa B. Em seguida, definimos uma data de exclusão definitiva para essa conta adequadamente no futuro, para garantir que o mundo saiba que a Pessoa A não está mais aqui. NÃO colocamos esse endereço de email em outra caixa de correio se pudermos ajudá-lo. Nem sempre somos bem sucedidos.

Às vezes, aquele veterano de 20 anos era o principal secretário de apoio a uma área e, portanto, era um delegado de praticamente todos com um calendário que precisava ser gerenciado. Assim que uma conta como essa for desativada, qualquer pessoa que envie um compromisso para os calendários gerenciados receberá mensagens de devolução incomuns. A reativação temporária da conta interrompe as mensagens devolvidas enquanto a equipe da área de trabalho passa e remove os delegados à mão de todas as caixas de correio. A equipe da área de trabalho pode levar alguns dias para negociar com os proprietários dos referidos calendários para entrar e fazer as configurações necessárias. A conta é desativada novamente e estará sujeita à exclusão habitual de duas semanas. Este é um "recurso" do Exchange que eu particularmente não gosto.

sysadmin1138
fonte
7

Não sou fã de excluir imediatamente uma conta do AD após um funcionário ou contratado deixar a empresa. Descobri que é melhor desativar por pelo menos 30 dias e excluir as contas desativadas uma ou duas vezes por ano.

Existem algumas razões pelas quais você não deseja excluir uma conta imediatamente:

1- Forense. Se a sua organização precisar executar uma ação legal contra um funcionário ou contratado, você precisará da conta original (SID).

2- Tarefas automatizadas - Os usuários, principalmente os profissionais de TI, tendem a configurar tarefas automatizadas para executar tarefas, automatizar relatórios, reciclar serviços etc. trabalhos ou tarefas vinculados aos IDs. Você não pode simplesmente recriar a conta com o mesmo nome, porque o SID não será o mesmo e é isso que as tarefas automatizadas consideram não o nome visível da conta.

Se você desabilitar primeiro, sempre poderá reativar a conta, alterar ou recuperar a senha e voltar aos negócios até que o trabalho seja transferido para uma conta de serviço legítima.


fonte
4

Temos requisitos de auditoria bastante rígidos e, com frequência, é solicitado que você prove que um usuário foi desativado e quando. Para lidar com isso, tendemos a desativar a conta quando nos dizem que eles saíram. Mova as contas desativadas para a sua própria UO e atualize a descrição com a data em que elas saem (também é útil nos permitir desativar as pessoas que desaparecem por um período prolongado e reativá-las quando voltarem).

Depois de seis meses, os excluímos.

Mike1980
fonte
Essa data não pode ser "colocada em jogo" ou o AD, por dentro, armazena uma data inativa que não é facilmente editável pelos administradores? Eu acho que você poderia olhar para data da última modificação, mas se você nunca tocá-lo você perde que a história
Matt Rogish
Pode ser facilmente alterado, felizmente ainda não foi exibido :-) Se alguma vez for consultado, sempre haverá o último atributo modificado do objeto de usuário, que deverá ter a mesma data que a data no campo de descrição para quando a conta foi desativada. .
Mike1980
É claro que não há nada que impeça um administrador de alterar a data no controlador de domínio, modificar a conta e alterar a data de volta ... Forense é realmente difícil hoje em dia.
Chris S
4

Se eles desaparecerem por mais de três meses, eu excluo as contas deles. Todos os nossos sistemas têm redirecionamento imposto à área de trabalho e pasta imposto por GPO para Meus documentos / área de trabalho, etc.

Eu sou pedante sobre o uso de grupos de segurança baseados em função no A / D para tudo, portanto, não há usuários que tenham permissões para o sistema de arquivos ou qualquer outra coisa aplicada implicitamente, portanto, não é nada demais excluir um usuário. Configurar isso exige um pouco de reflexão e esforço - mas eu realmente recomendo que você faça isso, pois faz com que o gerenciamento de permissões em uma rede Windows seja muito fácil.

Quanto ao intercâmbio, eu exporto a caixa de correio com o ExMerge e coloco o .pst na pasta arquivada, depois configuro o encaminhamento ou rejeição de mensagens, dependendo da função da pessoa que saiu.

ColtonCat
fonte
3

A política da universidade em que frequentei e trabalhei é a seguinte:

Alunos

  • após retirada
    • desativar conta
    • 30 dias depois, exclua se não for registrado novamente
  • graduação + 90 dias
    • desativar conta
    • criar endereço de encaminhamento "alum"
    • excluir 30 dias depois

Funcionários / Faculdade

  • ao sair
    • desativar conta
    • excluir 30 dias depois
Warren
fonte
3

Pode haver um grande problema ao excluir contas de computador: lei.

De acordo com a Diretiva de proteção de dados da UE, alguns estados membros (em particular a Polônia) exigem nunca atribuir o mesmo ID de usuário a ninguém e, ao mesmo tempo, manter o registro de quem e quando o acesso foi concedido e quando o acesso foi revogado.

Em resumo: se você lida com dados pessoais, é melhor pedir a um advogado / equipe jurídica.

Hubert Kario
fonte
Alguém tem uma fonte para o requisito polonês? Não encontro esse requisito nem na Diretiva da UE nem na legislação que implementa a diretiva na Polônia ou no Reino Unido.
Adam Thompson
1
@AdamThompson: infelizmente não consegui encontrá-lo em inglês, mas aqui está em polonês: giodo.gov.pl/144/id_art/1002/j/pl (Dz. U. z 2004 r. Nr 100, poz. 1024 ), você pode encontrá-lo no Apêndice A, § IV, ponto 1: "Identyfikator użytkownika, który utracił uprawnienia of przetwarzania danych, nie może być przydzielony innej osobie.", o google translate faz um trabalho decente nisso.
Hubert Kario
1
Correção, eu os encontrei aqui: giodo.gov.pl/409/id_art/209/j/en
Hubert Kario
Muito obrigado, Hubert. Minha leitura disso sugere que você não pode reutilizar a mesma conta, mas criar uma nova conta com o mesmo nome seria aceitável. A conta "[email protected]" antiga seria excluída e, talvez mais tarde, uma nova conta "[email protected]" seria criada - mas teria um SID ou UID diferente e, portanto, seria um "Identyfikator" diferente. / IDENTIDADE. Talvez seja um argumento para os advogados, embora não tenha certeza de como isso funcionaria no caso de um sistema jurídico de direito civil (em oposição ao comum).
Adam Thompson
1
@ AdamThompson: Tenho certeza de que é uma leitura incorreta. Ver II.2. "b) o acesso aos dados está disponível somente após a inserção do identificador e autenticação do usuário." Você não digita o SID / UID, digita o nome de usuário legível por humanos, portanto não pode ter dois usuários com "[email protected]". Agora, se você pode criar várias contas que compartilham o mesmo SID / UID ... que eu não conheço, mas provavelmente também não é permitido.
Hubert Kario
2

Se você fez backup de todos os dados, não vejo motivo para manter a conta do Active Directory. No entanto, eu manteria a conta de email ativa e a encaminharia para outra pessoa, caso um cliente entre em contato com ele ou com outro associado.

Highstead
fonte
2

Tenho dois clientes de consultoria, dos quais costumava trabalhar em período integral. Meu número pessoal e tudo são iguais, e tenho certeza de que eles nunca excluem contas do AD - eles apenas os desativam - quando voltei, eles me restabeleceram.

O único problema que vejo lá é que todas as associações e acessos do meu grupo que estão vinculados ao meu SID (somente membros do grupo AD, eu acho) ainda estão lá; portanto, se eu deveria voltar em uma capacidade reduzida, revisar essas associações seria ser um passo crítico.

Então, independentemente de você excluir e recriar ou desabilitar e habilitar, se o nome do nome da conta permanecer o mesmo, TODOS os outros sistemas que fazem referência a essa conta de usuário precisariam ser limpos.

Jason Kleban
fonte
2

Trabalho como técnico de suporte remoto (Elevated HelpDesk) para uma empresa de energia da Fortune 500. Aprimorando a natureza de nossos negócios, temos todos os tipos de cenários, desde empreiteiros que vão e vêm até o veterano de 20 anos, conforme descrito acima. Pelo que vi, nossa política é cortada e seca.

Todas as contas têm o último número do ticket, data e tipo de alteração no campo de descrição. Por exemplo, Change Order 123456 Created on 00/00/00 by the access manager Terminated on 00/00/00ouRe-enabled on 00/00/00 by Manager's Name

Imediatamente após a notificação de uma discrepância, o HelpDesk desativa a conta. Após a confirmação ou automaticamente após um tempo definido, o usuário para a UO de contas desativadas e anuncia três níveis e a data de término ( ~~~00/00/00) no nome de exibição para permitir que os usuários de TI e os usuários finais identifiquem rapidamente rapidamente que o usuário não está sozinho com a empresa .

Não posso fornecer informações sobre o que acontece com os dados. Eu não trabalho nesse departamento. Mas sei que depois de uma mariposa a conta desapareceu completamente.

Esses conceitos de dados e retenção, enquanto ainda protegem a organização de um funcionário insatisfeito, devem fazer parte das políticas de TI de qualquer organização. Mas o tempo entre cada etapa varia de acordo com a empresa.

Realmente nos ajuda na área de trabalho, especialmente na solução de problemas de mensagens.

Espero que isto ajude

kokan90
fonte
1

Temos pessoas que se retiram rotineiramente e depois retornam de uma semana a seis meses depois. Quando desabilitávamos as contas, tivemos algum problema que não me lembro da natureza de agora ... possivelmente relacionado a e-mails? Algum outro aviso? Em vez disso, alteramos nosso procedimento para que a senha seja redefinida para algo semelhante à linguagem sem sentido e uma nota seja colocada no campo de descrição detalhando a situação para que qualquer outra pessoa que edite suas informações de usuário a conheça como referência.

A conta acaba sendo lançada, não importa o que eles devam se formar.

Excluir a conta de vez em quando ... Eu diria que é uma questão de política, mas adiar também tem o benefício de "jogar com segurança", caso haja um erro ou uma mudança de situação. Ou há ramificação para simplesmente excluir os dados e de repente alguém precisa acessar certos arquivos, informações ou e-mails, etc ... mas isso pode ser tratado por outros meios, se você tiver políticas em vigor para restaurar informações antigas e outros enfeites. Para nós, é mais fácil manter partes da conta por um tempo, até que seja decidido que não será mais necessário, reduz um pouco de esforço e dor de cabeça posteriormente.

Bart Silverstrim
fonte