当员工离开您的组织时,您是否会删除或禁用其 Active Directory 帐户?我们的标准操作程序是禁用、导出/清除 Exchange 邮箱,然后在“一段时间”过去后(通常是每季度)删除该帐户。
有必要这么拖延吗?导出并清除邮箱后,我为什么不立即删除该帐户?
答案1
一旦他们退出,通常就不会再回来。我认为没有必要保留旧帐户。以下是我们的做法:
文件:
- 浏览他们的桌面(通常是“我的文档”和“桌面”)并将他们的旧数据存档到存档文件服务器(RAID-5 中只有几个 1TB 的驱动器)
- 将常规文件服务器上的 /user 文件夹备份到存档文件夹。
电子邮件:
- 备份所有电子邮件(以 pst 格式或仅保存其邮箱,具体取决于操作系统)并将其放在安全的地方。有时经理需要访问前员工的邮箱来检索特定电子邮件。
- 如果需要,我们会将电子邮件转发至经理或同事的帐户,直到没有更多邮件发送为止。
答案2
我们禁用这些帐户。它们的“描述”会更新以表明离开日期,并且它们会根据离开的状态(离开+电子邮件已转发到某处、离开+预存档、已存档)在 AD 层次结构中移动到某个文件夹中。
我们有大量复杂的文件和文件夹层次结构。如果您从 Active Directory 中删除帐户,则具有显式每个用户 ACL 的文件/文件夹将把该 ACL 数据显示为 SID。而且我还没有找到任何方法从 SID 中找出它曾经是哪个帐户——因为该帐户已被删除。
这样,当人们看到行为异常的所有权/权限问题时,我们可以查看(并删除)不再存在的人员的所有权和权限。
如果您删除某个用户,后来发现他或她使用 EFS 加密了某些文件和文件夹,则您将无法解密它们。
更新,稍后:我从一位正在接受 Microsoft 审计的同事那里了解到,您的 AD 中的帐户需要“按席位”许可证(如果您愿意这样做),无论他们是否是真实的人,也无论该人是否仍在场。因此,有理由删除!
答案3
在我所在的高等教育机构,我们有一个禁用并保留两周的政策。
- 当他们的帐户在横幅中被列为“不活动”时,第二天晚上的批处理将触发禁用过程。
- 他们的 Novell 帐户被禁用,并且登录时间受到限制。
- 他们的 AD 帐户被禁用,并且设置了登录时间限制。
- 他们的 Exchange 帐户设置了自身的传递限制,强制退回到该帐户的所有邮件(Exchange 2007 的新功能,禁用的帐户仍然可以接收邮件)。
- 两周后,管理人员可能会发出数据保留标志。我们会在这段时间内处理特殊情况。
- 两周后,帐户、用户目录和邮箱都会被清除。
请求访问用户目录数据的经理会获得一张 CD,而不是直接访问。过去经理们经常将用户目录用作另一个文件存储。
请求访问电子邮件的经理将获得邮箱的 PST 导出,但不能直接访问。
经理们抱怨说,该部门 20 年的老员工是某项关键职能的唯一联系人,因此他们需要保留此人的名字,以免重要邮件被退回,并得到他们的帮助。我们尝试在禁用的邮箱上设置一条外出规则,说明此人已离开,请联系人员 B。然后,我们为该帐户设置一个相当远的硬性删除日期,以确保全世界都知道人员 A 已不在这里。如果我们能做到的话,我们不会将该电子邮件地址放在另一个邮箱上。我们并不总是能成功。
有时,这位 20 年的资深人士是某个地区的首席秘书支持,因此是几乎所有需要管理日历的人的代表。一旦这样的帐户被禁用,任何向管理日历发送约会的人都会收到不寻常的退回邮件。暂时重新启用该帐户可以停止退回邮件,同时桌面工作人员会检查并手动从所有邮箱中删除代表。桌面工作人员可能需要几天时间与所述日历的所有者协商并进行必要的设置。然后该帐户将被重新禁用,并将受到通常的 2 周删除。这是我特别不喜欢的 Exchange 的一个“功能”。
答案4
我们有非常严格的审计要求,经常被要求证明用户被禁用以及何时被禁用。为了解决这个问题,我们倾向于在被告知用户离开时禁用该帐户。将禁用的帐户移至其自己的 OU,并使用他们离开的日期更新描述(这也很方便,让我们可以禁用长时间消失的用户,并在他们回来时重新启用他们)。
一旦它们消失 6 个月,我们就会将其删除。