web-dev-qa-db-fra.com

Active Directory: supprimer ou désactiver les employés décédés

Lorsqu'un employé quitte votre organisation, supprimez-vous ou désactivez-vous son compte Active Directory? Notre SOP consiste à désactiver, exporter/purger la boîte aux lettres Exchange, puis après "un certain temps" s'est écoulé (généralement tous les trimestres), supprimer le compte.

Y a-t-il un besoin pour ce délai? Après avoir exporté et purgé leur boîte aux lettres, pourquoi ne devrais-je pas supprimer le compte ici et là?

32
Matt Rogish

Une fois qu'ils ont démissionné, ils ne reviennent généralement pas. Je ne vois aucune raison de conserver les anciens comptes. Voici ce que nous faisons:

Fichiers:

  • Parcourez leur bureau (Mes documents et bureau généralement) et archivez leurs anciennes données sur le serveur de fichiers d'archive (seulement quelques disques de 1 To en RAID-5)
  • Sauvegardez également leur dossier/user sur le serveur de fichiers normal dans celui d'archivage.

Emails:

  • Sauvegardez tous leurs e-mails (au format pst ou simplement enregistrez leur boîte aux lettres, selon le système d'exploitation) et placez-les en lieu sûr. Parfois, les gestionnaires ont besoin d'accéder aux boîtes aux lettres d'anciens employés pour récupérer des e-mails spécifiques.
  • Si nécessaire, nous configurons un e-mail vers un compte de gestionnaire ou de collègues jusqu'à ce qu'il n'y ait plus de courrier entrant.
17
dubRun

Nous désactivons les comptes. Leurs "descriptions" sont mises à jour pour indiquer la date du départ, et ils sont déplacés dans la hiérarchie AD vers un dossier en fonction de leur état de départ (disparu + email transféré quelque part, disparu + pré-archivage, archivé).

Nous avons une grande quantité de fichiers complexes et de hiérarchies de dossiers. Si vous supprimez le compte d'Active Directory et que les fichiers/dossiers contenant des ACL explicites par utilisateur verront ces données ACL affichées en tant que SID. Et je n'ai trouvé aucun moyen de déterminer à partir d'un SID quel compte il était - car le compte a été supprimé.

De cette façon, lorsque les gens examinent des problèmes de propriété/autorisations qui se comportent bizarrement, nous pouvons voir (et supprimer) les propriétés et les autorisations des personnes qui ne sont plus présentes.

Mise à jour, beaucoup plus tard: J'ai appris d'un collègue qui subit un audit de Microsoft que les comptes dans votre AD nécessitent une licence "par siège" (si vous vous déplacez de cette façon), qu'ils soient ou non êtes une personne réelle et si la personne est toujours présente. Il y a donc un argument à faire pour la suppression!

35
David Mackintosh

Ici, à ma place de Higher Ed, nous avons une politique de désactivation et de conservation pendant 2 semaines.

  • Lorsque leur compte sera répertorié dans la bannière comme "inactif", le traitement par lots de la nuit suivante déclenchera le processus de désactivation.
    • Leurs comptes Novell sont désactivés ET une restriction de temps de connexion est mise en place.
    • Leurs comptes AD sont désactivés ET une restriction de temps de connexion est mise en place.
    • Leurs comptes Exchange sont définis avec une restriction de remise pour eux-mêmes, forçant tous les messages vers ce compte à rebondir (nouveau avec Exchange 2007, les comptes désactivés peuvent toujours recevoir du courrier).
  • Deux semaines se sont écoulées, pendant lesquelles les gestionnaires peuvent lancer des indicateurs de conservation des données. Nous traitons des flocons de neige spéciaux pendant cet intervalle.
  • Au bout de deux semaines, les comptes, les répertoires d'utilisateurs et les boîtes aux lettres sont purgés.

Les gestionnaires qui demandent l'accès aux données du répertoire des utilisateurs reçoivent un CD, pas un accès direct. FAR trop souvent dans le passé, les gestionnaires utilisent simplement le répertoire utilisateur comme un autre magasin de fichiers.

Les gestionnaires qui demandent l'accès aux e-mails reçoivent une exportation PST de la boîte aux lettres et non un accès direct.

Les gestionnaires se plaignant que ledit vétéran de 20 ans du département était le seul point de contact pour une certaine fonction critique, et qu'ils doivent donc garder le nom pour que les courriers critiques ne soient pas renvoyés, se tiennent la main. Nous essayons de mettre une règle d'absence du bureau sur la boîte aux lettres désactivée indiquant que la personne est partie et veuillez contacter la personne B à la place. Nous avons ensuite fixé une date de suppression stricte pour ce compte suffisamment à l'avenir pour nous assurer que le monde sait que la personne A n'est plus ici. Nous ne mettons PAS cette adresse e-mail sur une autre boîte aux lettres si nous pouvons du tout l'aider. Nous ne réussissons pas toujours.

Parfois, ce vétéran de 20 ans était le principal secrétaire de soutien pour une région, et était donc un délégué de presque tout le monde avec un calendrier qui devait être géré. Dès qu'un compte comme celui-ci est désactivé, toute personne qui envoie un rendez-vous aux calendriers gérés recevra des messages de rebond inhabituels. La réactivation temporaire du compte arrête les messages de rebond pendant que le personnel de bureau passe en revue et supprime manuellement les délégués de toutes les boîtes aux lettres. Cela peut prendre quelques jours au personnel de bureau pour négocier avec les propriétaires desdits calendriers pour entrer et effectuer les réglages nécessaires. Le compte est ensuite désactivé à nouveau et sera soumis à la suppression habituelle de 2 semaines. C'est une "fonctionnalité" d'Exchange que je n'aime pas particulièrement.

11
sysadmin1138

Je ne suis pas fan de la suppression immédiate d'un compte AD après qu'un employé ou un entrepreneur a quitté l'entreprise. J'ai constaté qu'il est préférable de désactiver pendant au moins 30 jours, puis de supprimer les comptes désactivés 1 à 2 fois par an.

Il existe plusieurs raisons pour lesquelles vous ne souhaitez pas supprimer un compte immédiatement:

1- Médecine légale. Si votre organisation a besoin de poursuivre en justice un employé ou un entrepreneur, vous aurez besoin du compte d'origine (SID).

2- Tâches automatisées - Les utilisateurs, en particulier les informaticiens, ont tendance à configurer des tâches automatisées pour effectuer des tâches telles que l'exécution de travaux, l'automatisation des rapports, les services de recyclage, etc. emplois ou tâches liés aux identifiants. Vous ne pouvez pas simplement recréer le compte avec le même nom car le SID ne sera pas le même et c'est ce que les tâches automatisées ne regardent pas le nom visible du compte.

Si vous désactivez d'abord, vous pouvez toujours réactiver le compte, modifier ou récupérer le mot de passe et votre retour en affaires jusqu'à ce que le travail soit transféré vers un compte de service légitime.

7
John

S'ils sont partis depuis plus de 3 mois, je supprime leurs comptes. Tous nos systèmes ont GPO redirection de bureau et de dossier imposée pour Mes documents/Bureau, etc., donc après la suppression, je les archive sur mon volume d'archives sur le serveur de fichiers.

Je suis pédant sur l'utilisation de groupes de sécurité basés sur les rôles sur A/D pour tout, donc il n'y a pas d'utilisateurs qui ont des autorisations sur le système de fichiers ou quoi que ce soit d'autre implicitement appliqué, donc pas de gros problème pour supprimer un utilisateur. La configuration de cela nécessite un peu de réflexion et de gratte-tête - mais je recommande vraiment de le faire, car cela rend la gestion des autorisations sur un réseau Windows un jeu d'enfant.

Quant à l'échange, j'exporte la boîte aux lettres avec ExMerge, et mets le .pst avec le dossier archivé, puis configure le transfert ou les messages de rebond en fonction du rôle de la personne qui a quitté.

4
ColtonCat

Nous avons des exigences d'audit assez strictes, et on nous demande souvent de prouver qu'un utilisateur a été désactivé, et quand. Pour faire face à cela, nous avons tendance à désactiver le compte lorsque l'on nous dit qu'il est parti. Déplacez les comptes désactivés vers leur propre unité d'organisation et mettez à jour la description avec la date à laquelle ils ont quitté (cela est également utile pour nous permettre de désactiver les personnes qui disparaissent pendant une période prolongée et de les réactiver à leur retour).

Une fois qu'ils sont partis depuis 6 mois, nous les supprimons.

4
Mike1980

La politique de l'université que j'ai fréquentée et pour laquelle j'ai travaillé est la suivante:

Élèves

  • lors du retrait
    • désactiver le compte
    • 30 jours plus tard, supprimer si non réinscrit
  • graduation + 90 jours
    • désactiver le compte
    • créer une adresse de transfert "alun"
    • supprimer 30 jours plus tard

Personnel/Faculté

  • à la sortie
    • désactiver le compte
    • supprimer 30 jours plus tard
3
warren

La suppression de comptes d'ordinateurs peut poser un très gros problème: la loi.

En vertu de l'UE Directive sur la protection des données certains États membres (la Pologne en particulier) exigent de ne jamais attribuer le même ID utilisateur à quelqu'un d'autre et, en même temps, de garder une trace de qui et quand l'accès a été accordé et quand l'accès a été révoqué.

En bref: si vous traitez des données personnelles, mieux vaut demander à un avocat/une équipe juridique.

3
Hubert Kario

Je travaille en tant que technicien de support à distance (Elevated HelpDesk) pour un fournisseur d'énergie Fortune 500. Compte tenu de la nature de notre entreprise, nous avons tous les types de scénarios allant des entrepreneurs qui vont et viennent au vétéran de 20 ans comme décrit ci-dessus. D'après ce que j'ai vu, notre politique est coupée et sèche.

Tous les comptes ont le dernier numéro de ticket, la date et le type de modification dans le champ de description. Par exemple. Change Order 123456 Created on 00/00/00 by the access managerTerminated on 00/00/00 ou Re-enabled on 00/00/00 by Manager's Name

Immédiatement après la notification d'un écart, le HelpDesk désactive le compte. Lors de la confirmation ou automatiquement après une heure définie, l'utilisateur accède à l'unité d'organisation des comptes désactivés et annonce trois tildes et la date de résiliation (~~~00/00/00) au nom d'affichage pour permettre au service informatique et aux utilisateurs finaux d'identifier rapidement en un coup d'œil que l'utilisateur n'est pas seul avec l'entreprise.

Je ne peux pas fournir d'informations sur ce qui arrive aux données. Je ne travaille pas dans ce département. Mais je sais qu'après environ une nuit, le compte a complètement disparu.

Ces concepts de données et de conservation, tout en protégeant l'organisation d'un employé mécontent, devraient faire partie des politiques informatiques de toute organisation. Mais le temps entre chaque étape variera selon l'entreprise.

Cela nous aide vraiment sur le bureau, en particulier lors du dépannage des problèmes de messagerie.

J'espère que cela t'aides

2
kokan90

Si vous avez sauvegardé toutes leurs données, je ne vois aucune raison de conserver le compte Active Directory. Cependant Je garderais leur compte de messagerie actif et le transmettrais à quelqu'un d'autre au cas où un client les contacterait ou un autre associé.

2
Highstead

J'ai deux clients consultants dont je travaillais à plein temps. Mon numéro personnel et tout est le même, et je suis sûr qu'ils ne suppriment jamais les comptes AD - ils les désactivent simplement - quand je suis revenu, ils m'ont simplement réintégré.

Le seul problème que je vois là-bas est que toutes les adhésions et les accès à mon groupe qui sont liés à mon SID (uniquement les appartenances au groupe AD, je pense) sont toujours là, donc si j'étais censé revenir en capacité réduite, revoir ces appartenances serait être une étape critique.

Ensuite, que vous supprimiez et recréiez ou que vous désactiviez et activiez, si le nom de compte sam reste le même, TOUS les autres systèmes faisant référence à ce compte d'utilisateur devraient être nettoyés.

2
Jason Kleban

Nous avons des gens qui se retirent régulièrement puis reviennent de une semaine à six mois plus tard. Lorsque nous désactivions les comptes, nous avions un problème dont je ne me souviens plus de la nature de maintenant ... peut-être lié au courrier électronique? Un autre avertissement? Nous avons changé notre procédure à la place afin que le mot de passe soit réinitialisé à quelque chose de semblable à du charabia et une note soit placée dans le champ de description détaillant la situation afin que toute autre personne modifiant ses informations utilisateur le sache pour référence.

Le compte est finalement déployé quelle que soit la date à laquelle ils sont censés avoir obtenu leur diplôme.

Supprimer le compte ici et là ... Je dirais que c'est une question de politique, mais le maintien a également l'avantage de "jouer prudemment" en cas d'erreur ou de changement de situation. Ou il y a des ramifications à simplement supprimer les données et tout à coup, quelqu'un a besoin d'accéder à certains fichiers ou informations ou courrier, etc ... mais cela peut être géré par d'autres moyens si vous avez des politiques en place pour restaurer les anciennes informations et ainsi de suite. Pour nous, il est juste plus facile de conserver des parties du compte pendant un certain temps jusqu'à ce qu'il soit décidé qu'il ne sera plus nécessaire, ce qui réduit les efforts et les maux de tête plus tard.

1
Bart Silverstrim