Mat*_*ish 32 active-directory best-practices
当员工离开您的组织时,您是否删除或禁用他们的 Active Directory 帐户?我们的 SOP 是禁用、导出/清除 Exchange 邮箱,然后在“一段时间”过去后(通常每季度)删除该帐户。
有必要延迟吗?导出并清除他们的邮箱后,为什么我不应该立即删除该帐户?
Dav*_*osh 36
我们禁用帐户。他们的“描述”会更新以指示出发日期,并且他们在 AD 层次结构中移动到一个文件夹,具体取决于他们所处的出发状态(消失+电子邮件转发到某处,消失+预存档,存档)。
我们有大量复杂的文件和文件夹层次结构。如果您从 Active Directory 中删除该帐户,则具有明确的每用户 ACL 的文件/文件夹将具有显示为 SID 的 ACL 数据。而且我还没有找到任何方法从 SID 中找出它曾经是哪个帐户——因为该帐户已被删除。
这样,当人们查看行为异常的所有权/权限问题时,我们可以看到(并删除)不再存在的人的所有权和权限。
如果您删除一个用户,然后您发现他或她使用 EFS 加密了一些文件和文件夹,您将无法解密它们。
更新,很久以后:我从一位正在接受 Microsoft 审计的同事那里了解到,您 AD 中的帐户需要“每个席位”许可证(如果您这样做),无论他们是否是真实的人,以及不是那个人还在。所以有一个论据要删除!
dub*_*Run 17
一旦他们退出,他们通常不会回来。我认为没有理由保留旧帐户。这是我们所做的:
文件:
电子邮件:
sys*_*138 11
在我所在的高等教育机构,我们有一项禁用并保留 2 周的政策。
请求访问用户目录数据的经理将获得一张 CD,而不是直接访问。FAR 过去常常说管理人员只是将用户目录用作另一个文件存储。
请求访问电子邮件的经理将获得邮箱的 PST 导出,而不是直接访问。
管理人员抱怨说,在该部门工作了 20 年的资深人士是某个关键职能的唯一联系人,因此他们需要保留这个名字,以免关键邮件被退回,让他们掌握。我们尝试在禁用的邮箱上放置一条外出规则,说明此人已离开,请改为联系 B 人。然后,我们为该帐户设置了一个在未来适当远的硬删除日期,以确保全世界都知道 A 人已经不在了。如果我们可以提供帮助,我们不会将该电子邮件地址放在另一个邮箱中。我们并不总是成功。
有时,这位 20 年的老将是某个地区的总理支持者,因此几乎是每个需要管理日历的人的代表。一旦这样的帐户被禁用,任何向托管日历发送约会的人都会收到不寻常的退回邮件。临时重新启用该帐户会停止退回邮件,同时桌面工作人员通过并手动从所有邮箱中删除代表。这可能需要几天时间让桌面工作人员与所述日历的所有者协商以进入并进行所需的设置。然后,该帐户将被重新禁用,并且通常会被删除 2 周。这是我特别不喜欢的 Exchange 的一项“功能”。
小智 8
我不喜欢在员工或承包商离开公司后立即删除 AD 帐户。我发现最好禁用至少 30 天,然后每年删除禁用的帐户 1-2 次。
您不想立即删除帐户的原因有两个:
1- 取证。如果您的组织需要对员工或承包商采取法律行动,您将需要原始帐户 (SID)。
2- 自动化任务- 用户,尤其是 IT 员工,倾向于设置自动化任务来执行诸如运行作业、自动化报告、回收服务等操作。如果在您意识到存在复杂性之前删除用户帐户,您将陷入困境与 ID 相关的工作或任务。您不能简单地重新创建具有相同名称的帐户,因为 SID 不会相同,而这正是自动化任务所要查看的,而不是帐户的可见名称。
如果您先禁用,您始终可以重新启用该帐户、更改或恢复密码,然后重新开始业务,直到您将工作转移到合法的服务帐户。