我已经制定了在用户离开其角色时将其从我们的域中删除的程序。在许多情况下,这就像从 AD 中删除用户一样简单。
我是否应该采取进一步措施,例如删除他们电脑上的用户文件夹?
我已经在 Google 上搜索过“退役 Windows 用户”,但似乎没有任何文档或最佳实践......
答案1
这部分是法律或人力资源问题。用户是和平离职还是在怀疑的阴影下离职?接替其职位的其他用户是否需要访问文件?是否涉及电子邮件,如果是,是否可能受到诉讼?在极端情况下,删除他们的文件是否可以被视为销毁证据?这些都不是技术问题。
从技术角度来看,禁用帐户(甚至不是删除帐户)通常会阻止大多数访问。我必须说“大多数”,因为当今的移动互联世界有很多东西被缓存和同步。用户可以使用缓存的凭据登录与网络断开连接的计算机。
一个重要的技术的需要注意的问题是,ActiveSync(手机访问 Exchange 的最常用方式)可以在帐户被禁用后允许访问邮箱。(请参阅https://blogs.technet.microsoft.com/messaging_with_communications/2012/06/26/part-i-disabled-accounts-and-activesync-devices-continuing-to-sync/)
在“紧急解雇”的情况下,我建议准备一份清单(然后可以编写脚本),其中涵盖了如果有人突然离职,您(IT 部门)和其他人(人力资源、物理安全等人员)需要执行的所有技术和手动步骤。然后,管理层或法律部门也可以审查和批准该清单。Joe Schaeffer 的博客中提供了一些起点。
您可以搜索“终止清单”等主题以获取示例。