web-dev-qa-db-ja.com

Active Directory:退職した従業員を削除するか無効にするか

従業員が退職した場合、Active Directoryアカウントを削除または無効にしますか?私たちのSOPは、Exchangeメールボックスを無効にし、エクスポート/パージして、「一定の時間」が経過した後(通常は四半期ごと)、アカウントを削除します。

その遅延の必要性はありますか?メールボックスをエクスポートしてパージした後、その場でアカウントを削除してはいけないのはなぜですか?

active-directorybest-practices
32
Matt Rogish

彼らがやめると、彼らは通常戻ってきません。私は古いアカウントにこだわる理由はないと思います。これが私たちがすることです:

ファイル:

  • デスクトップ(通常、マイドキュメントとデスクトップ)を通過し、古いデータをアーカイブファイルサーバーにアーカイブします(RAID-5では1 TBドライブ数台)。
  • 通常のファイルサーバーの/ userフォルダーもアーカイブにバックアップします。

メール:

  • (OSに応じて、pstに保存するか、メールボックスを保存する)すべてのメールをバックアップし、安全な場所に保管します。マネージャーは、特定の電子メールを取得するために、元従業員のメールボックスにアクセスする必要がある場合があります。
  • 必要に応じて、メールが届かなくなるまでマネージャーまたは同僚のアカウントに転送するメールを設定します。
17
dubRun

アカウントを無効にします。彼らの「説明」は、出発の日付を示すように更新され、彼らがどの出発状態にあるかに応じて、AD階層内のフォルダーに移動されます(どこかに転送+どこかに転送されたメール、アーカイブ済み+アーカイブ済み)。

複雑なファイルやフォルダ階層が多数あります。 Active Directoryからアカウントを削除すると、明示的なユーザーごとのACLを持つファイル/フォルダーにそのACLデータがSIDとして表示されます。また、アカウントが削除されているため、SIDから以前のアカウントを把握する方法が見つかりませんでした。

このように、人々が奇妙に振る舞っている所有権/許可の問題を見ているとき、私たちはもはや存在しない人々の所有権と許可を見る(そして削除する)ことができます。

更新、後ほど: Microsoftから監査を受けている同僚から、ADのアカウントに「シート単位」のライセンスが必要であることがわかった(そのように振るっている場合)。実在の人物であり、その人物がまだ存在しているかどうか。だから削除のために作られるべき議論があります!

35
David Mackintosh

私のハイアーエドの場所には、無効化と2週間のポリシーがあります。

  • 彼らのアカウントがバナーに「非アクティブ」として表示されると、翌日のバッチ処理は無効化プロセスを開始します。
    • 彼らのNovellアカウントは無効化されており、ログイン時間の制限が設けられています。
    • 彼らのADアカウントは無効であり、ログイン時の制限が設けられています。
    • Exchangeアカウントは自分自身に配信制限が設定されており、そのアカウントへのすべてのメールを強制的にバウンスします(Exchange 2007の新機能では、無効にされたアカウントでもメールを受信できます)。
  • 2週間が経過すると、その間にマネージャはデータ保持フラグをスローする可能性があります。この期間中は特別な雪片を扱います。
  • 2週間の終わりに、アカウント、ユーザーディレクトリ、およびメールボックスが削除されます。

ユーザーディレクトリデータへのアクセスを要求するマネージャーには、直接アクセスではなく、CDが与えられます。 FARはこれまであまりにも頻繁に、マネージャーがユーザーディレクトリをさらに別のファイルストアとして使用するだけであると述べていました。

電子メールへのアクセスを要求するマネージャーには、直接アクセスではなく、メールボックスのPSTエクスポートが付与されます。

マネージャーは、部門の20年のベテランが特定の重要な機能の唯一の連絡窓口であり、したがって重要なメールがバウンスされないように名前を保持する必要があると不満を述べています。無効にされたメールボックスに不在時のルールを設定して、その人が去ったことを伝え、代わりに人Bに連絡してください。次に、そのアカウントの完全な削除日を適切に遠い将来に設定して、人物Aがここにいないことを世界に知らせます。私たちはそれを助けることができるなら、私たちは別のメールボックスにそのメールアドレスを置くことはしません。私たちは常に成功するとは限りません。

時々、その20年のベテランがその地域の秘書サポートの第一人者であり、そのため、管理が必要なカレンダーを持つほぼ全員の代理人でした。このようなアカウントが無効になるとすぐに、管理されたカレンダーにアポイントメントを送信すると、異常なバウンスメッセージが送信されます。アカウントを一時的に再度有効にすると、デスクトップスタッフがすべてのメールボックスからデリゲートを通過して手動で削除している間、バウンスメッセージが停止します。デスクトップスタッフが上記のカレンダーの所有者と交渉して必要な設定を行うには、数日かかる場合があります。その後、アカウントは再び無効になり、通常の2週間の削除の対象となります。これは、私が特に気に入らないExchangeの「機能」の1つです。

11
sysadmin1138

私は、従業員または請負業者が退職した直後にADアカウントを削除するのが好きではありません。少なくとも30日間無効にしてから、無効になったアカウントを年に1〜2回削除するのが最善であることがわかりました。

アカウントをすぐに削除したくない理由はいくつかあります。

1-フォレンジック。組織が従業員または請負業者に対して訴訟を起こす必要がある場合は、元のアカウント(SID)が必要になります。

2-自動化されたタスク-ユーザー、特にITワーカーは、ジョブの実行、レポートの自動化、サービスのリサイクルなどを行うために自動化されたタスクを設定する傾向があります。複雑であることに気付く前にユーザーアカウントを削除すると、拘束されます。 IDに関連付けられたジョブまたはタスク。 SIDは同じではなく、自動化されたタスクはアカウントの表示されている名前ではなくそれを見るので、単に同じ名前でアカウントを再作成することはできません。

最初に無効にした場合は、ジョブを正規のサービスアカウントに移行するまで、いつでもアカウントを再度有効にして、パスワードを変更または回復し、業務を再開することができます。

7
John

3か月以上経過している場合は、アカウントを削除します。すべてのシステムにGPOマイドキュメント/デスクトップなどのデスクトップとフォルダのリダイレクトが強制されているため、削除した後、ファイルサーバーのアーカイブボリュームにアーカイブします。

私はすべてに対してA/Dでロールベースのセキュリティグループを使用することについて知識を持っているので、ファイルシステムへのアクセス許可またはその他の暗黙的に適用されるものを持っているユーザーはいないので、ユーザーを大きく削除する必要はありません。これを設定するには、少し考えて頭を悩ます必要がありますが、Windowsネットワークでのアクセス許可の管理が簡単になるため、実際に行うことをお勧めします。

交換については、ExMergeを使用してメールボックスをエクスポートし、.pstをアーカイブ済みフォルダーと一緒に配置してから、残した人の役割に応じてメッセージの転送またはバウンスをセットアップします。

4
ColtonCat

私たちにはかなり厳しい監査要件があり、ユーザーがいつ無効になったかを証明するように求められることがよくあります。これに対処するために、私たちは彼らが去ったと言われたときにアカウントを無効にする傾向があります。無効化されたアカウントを独自のOUに移動し、残された日付を使用して説明を更新します(これは、長期間失踪した人々を無効化し、戻ってきたときに再び有効化するのにも役立ちます)。

6か月が経過したら削除します。

4
Mike1980

私が在籍して働いていた大学の方針は次のとおりです。

学生

  • 撤退時
    • アカウントを無効にします
    • 30日後、再登録されていない場合は削除する
  • 卒業+ 90日
    • アカウントを無効にします
    • 「ミョウバン」転送アドレスを作成する
    • 30日後に削除

スタッフ/教員

  • 出発時
    • アカウントを無効にします
    • 30日後に削除
3
warren

コンピュータアカウントの削除には、法律という非常に大きな問題が発生する可能性があります。

EUのもとでは データ保護指令 一部の加盟国(特にポーランド)は、同じユーザーIDを他人に決して割り当てず、同時に誰がいつアクセスを許可されたかのログを保持する必要があります。アクセスが取り消されました。

つまり、個人データを扱う場合は、弁護士または法務チームに依頼することをお勧めします。

3
Hubert Kario

私はフォーチュン500エネルギーユーティリティのリモートサポート(Elevated HelpDesk)技術者として働いています。私たちのビジネスの性質を踏まえて、上に説明したように、20年のベテランに出入りする請負業者から、あらゆるタイプのシナリオがあります。私が見たものから、私たちの方針は完全に切り捨てられています。

すべてのアカウントの最後のチケット番号、日付、および変更のタイプが説明フィールドにあります。例えば。 Change Order 123456 Created on 00/00/00 by the access managerTerminated on 00/00/00またはRe-enabled on 00/00/00 by Manager's Name

不一致が通知されるとすぐに、ヘルプデスクはアカウントを無効にします。確認時に、または設定された時間後に自動的に、無効化されたアカウントOUへのユーザーと3つのチルドと広告の終了日(~~~00/00/00)を表示名に追加することで、ITユーザーとエンドユーザーの両方が一目でユーザーを一目で識別できるようになり、ユーザーは会社に慣れていません。

データの処理に関する情報を提供できません。私はその部門では働いていません。しかし、私は蛾については、アカウントが完全になくなった後知っています。

これらのデータと保持の概念は、不満を持つ従業員から組織を保護しながら、組織のITポリシーの一部である必要があります。ただし、各ステップ間の時間は会社によって異なります。

特にメッセージングの問題をトラブルシューティングするときに、デスクトップで本当に役立ちます。

お役に立てれば

2
kokan90

すべてのデータをバックアップした場合、Active Directoryアカウントを保持する理由はありません。 ただしクライアントが彼らまたは他の仲間に連絡した場合に備えて、私は彼らのメールアカウントをアクティブに保ち、他の誰かにメールを転送します。

2
Highstead

私には2人のコンサルティングクライアントがいて、以前は正社員でした。私の担当者番号とすべてが同じであり、ADアカウントを削除することは決してないと確信しています-彼らはそれらを無効にするだけです-私が戻ってきたとき、彼らはちょうど私を元に戻しました。

私が目にする唯一の問題は、私のSIDに関連付けられているすべてのグループメンバーシップとアクセス(ADグループメンバーシップのみ)がまだ存在することです。重要なステップです。

次に、削除して再作成するか無効にするか有効にするかに関係なく、samaccountnameが同じ場合は、そのユーザーアカウントを参照する他のすべてのシステムをスクラブする必要があります。

2
Jason Kleban

日常的に撤退し、1週間から6か月後のどこかに戻る人々がいます。アカウントを無効にすると、今の状態を思い出せない問題が発生しました。おそらくメール関連でしょうか。他の警告?代わりに手順を変更して、パスワードが意味不明なものにリセットされ、状況を説明するメモが説明フィールドに配置されるので、ユーザー情報を編集している他の誰もが参照できるようになります。

アカウントは、いったん卒業すると想定されていたとしても、最終的にはロールアウトされます。

アカウントをその場で削除する...それはポリシーの問題だと思いますが、延期することには、間違いや状況の変化に備えて、「安全にプレーする」という利点もあります。または、単純にデータを削除して、突然誰かが特定のファイルや情報やメールなどにアクセスする必要があるという影響もありますが、古い情報を復元するためのポリシーがあれば、他の方法で処理できます。私たちにとっては、アカウントが不要になることが確定するまでしばらくの間、アカウントの一部を維持し、後でいくつかの労力と頭痛を軽減する方が簡単です。

1
Bart Silverstrim