Active Directory: supprimer / désactiver les employés partis [fermé]

32

Lorsqu'un employé quitte votre entreprise, supprimez-vous ou désactivez-vous son compte Active Directory? Notre SOP consiste à désactiver, exporter / purger la boîte aux lettres Exchange, puis après "un certain temps" (généralement tous les trimestres), supprimez le compte.

Ce délai est-il nécessaire? Après avoir exporté et purgé leur boîte aux lettres, pourquoi ne devrais-je pas supprimer le compte immédiatement?

active-directory best-practices Matt Rogish
la source

Réponses:

17

Une fois qu'ils ont quitté, ils ne reviennent généralement pas. Je ne vois aucune raison de conserver d'anciens comptes. Voici ce que nous faisons:

Des dossiers:

  • Passez par leur bureau (Mes documents et bureau en général) et archivez leurs anciennes données sur le serveur de fichiers d’archive (quelques lecteurs de 1 To en RAID-5)
  • Sauvegardez également leur dossier / user sur le serveur de fichiers standard sur celui d’archive.

Courriels:

  • Sauvegardez tous leurs courriels (dans pst ou tout simplement en sauvegardant leur boîte aux lettres, selon le système d'exploitation) et rangez-les dans un endroit sûr. Parfois, les gestionnaires ont besoin d'accéder à des boîtes aux lettres d'anciens employés pour récupérer des courriels spécifiques.
  • Si nécessaire, nous configurons un transfert de courrier électronique vers un compte de responsable ou de collègue jusqu'à ce qu'il ne reste plus aucun courrier.
dubRun
la source
2
J'aime la chose en avant
Matt Rogish
-1 Re: "Je ne vois aucune raison de
conserver mes
2
N'oubliez pas non plus de cacher leur nom au carnet d'adresses de l'échange
benPearce
35

Nous désactivons les comptes. Leurs "descriptions" sont mises à jour pour indiquer la date de départ, et elles sont déplacées dans la hiérarchie AD vers un dossier en fonction de l'état de départ (parti + courrier transféré quelque part, passé + pré-archive, archivé).

Nous avons une grande quantité de fichiers complexes et de hiérarchies de dossiers. Si vous supprimez le compte dans Active Directory et que les fichiers / dossiers contenant des listes de contrôle d'accès par utilisateur explicites afficheront ces données de liste de contrôle d'accès en tant que SID. Et je n'ai trouvé aucun moyen de déterminer, à partir d'un SID, quel compte il était - car ce compte a été supprimé.

De cette façon, lorsque des personnes examinent des problèmes de propriété / autorisations qui se comportent de façon étrange, nous pouvons voir (et supprimer) les propriétés et les autorisations de personnes qui ne sont plus présentes.

Mise à jour, beaucoup plus tard: un collègue soumis à un audit de Microsoft a appris que les comptes de votre AD nécessitent une licence "par poste" (si vous basculez de la sorte), qu’ils soient ou non une personne réelle et si non la personne est toujours présente. Donc, il y a un argument à faire pour la suppression!

David Mackintosh
la source
3
Bon point avec le SID sur les ACL explicites
Matt Rogish 10/09/2009
2
Mon responsable utilise également cet argument. Pour être honnête, je ne suis pas en faveur de la désactivation des comptes et préfère les supprimer. La meilleure pratique suggère de ne pas autoriser explicitement les utilisateurs sur les ACL et si le SID est juste affiché, pourquoi ne pas le supprimer?
Fenster 10.09.09
4
Parce que les "meilleures pratiques" ne surviennent pas toujours dans le monde réel, en particulier si les utilisateurs gâchent avec les autorisations eux-mêmes. Laisser le nom d'utilisateur dedans signifie que vous pouvez rechercher une personne responsable et (lui demander) de décider de ce qui doit se passer maintenant que le défunt a ... erm ... est parti.
David Mackintosh
2
Les comptes handicapés nécessitent un appel? Cela ne semble pas juste. Je comprends les comptes activés, mais vraiment?
Jason Berg
1
MS a-t-il donné des détails sur la raison pour laquelle c'était le cas? J'ai toujours entendu dire que par utilisateur était par personne et non par compte d'utilisateur.
David
11

Ici, chez moi, Higher Ed, nous avons une politique de désactivation et de conservation pendant 2 semaines.

  • Lorsque leur compte est répertorié dans la bannière comme "inactif", le traitement par lots de la nuit suivante déclenche le processus de désactivation.
    • Leurs comptes Novell sont désactivés ET une restriction de temps de connexion est mise en place.
    • Leurs comptes AD sont désactivés ET une restriction de temps de connexion est mise en place.
    • Leurs comptes Exchange sont définis avec une restriction de livraison pour eux-mêmes, forçant tous les messages de ce compte à être renvoyés (nouveauté avec Exchange 2007, les comptes désactivés peuvent toujours recevoir du courrier).
  • Deux semaines s'écoulent pendant lesquelles les responsables peuvent lancer des indicateurs de conservation des données. Nous traitons des flocons de neige spéciaux pendant cet intervalle.
  • Au bout de deux semaines, les comptes, les répertoires d'utilisateurs et les boîtes aux lettres sont purgés.

Les gestionnaires qui demandent l’accès aux données du répertoire des utilisateurs reçoivent un CD et non un accès direct. Trop loin dans le passé, ces gestionnaires utilisaient simplement le répertoire utilisateur comme un autre magasin de fichiers.

Les gestionnaires qui demandent l’accès aux courriers électroniques reçoivent une exportation PST de la boîte aux lettres, et non un accès direct.

Les responsables se plaignent de ce que le vétéran du département depuis 20 ans était le seul point de contact pour une fonction essentielle. Ils devaient donc conserver le nom pour que les courriers critiques ne soient pas renvoyés, mais se tiennent la main. Nous essayons de mettre une règle d'absence du bureau sur la boîte aux lettres désactivée indiquant que la personne est partie et nous vous prions de contacter la personne B à la place. Nous fixons ensuite une date de suppression définitive pour ce compte suffisamment à l’avenir pour nous assurer que le monde sait que la personne A n’est plus là. Nous ne mettons PAS cette adresse électronique sur une autre boîte aux lettres si nous pouvons l’aider. Nous ne réussissons pas toujours.

Parfois, ce vétéran de 20 ans était le soutien du premier secrétaire pour un domaine, et était donc un délégué de pratiquement tout le monde avec un calendrier à gérer. Dès qu'un tel compte est désactivé, toute personne envoyant un rendez-vous aux calendriers gérés recevra des messages de rebond inhabituels. La réactivation temporaire du compte arrête les messages renvoyés pendant que le personnel du bureau passe et supprime manuellement les délégués de toutes les boîtes aux lettres. Cela peut prendre quelques jours au personnel de bureau pour négocier avec les propriétaires desdits calendriers afin de pouvoir entrer et définir les paramètres nécessaires. Le compte est ensuite réactivé et sera sujet à la suppression habituelle des 2 semaines. C’est une fonctionnalité d’Exchange que je n’aime pas particulièrement.

sysadmin1138
la source
7

Je ne suis pas partisan de la suppression immédiate d'un compte AD lorsqu'un employé ou un entrepreneur quitte l'entreprise. J'ai constaté qu'il est préférable de désactiver pendant au moins 30 jours, puis de supprimer les comptes désactivés une à deux fois par an.

Il existe plusieurs raisons pour lesquelles vous ne souhaitez pas supprimer un compte immédiatement:

1- Forensics. Si votre organisation a besoin d'engager des poursuites judiciaires contre un employé ou un sous-traitant, vous aurez besoin du compte d'origine (SID).

2- Tâches automatisées - Les utilisateurs, en particulier les informaticiens, ont tendance à configurer des tâches automatisées, telles que l'exécution de tâches, l'automatisation des rapports, le recyclage des services, etc. travaux ou tâches liés aux identifiants. Vous ne pouvez pas simplement recréer le compte avec le même nom car le SID ne sera pas le même et c'est ce que les tâches automatisées considèrent, et non le nom visible du compte.

Si vous désactivez d'abord, vous pouvez toujours réactiver le compte, modifier ou récupérer le mot de passe, ainsi que votre retour dans les affaires jusqu'à ce que le travail soit transféré vers un compte de service légitime.


la source
4

Nous avons des exigences d'audit assez strictes et on nous demande souvent de prouver qu'un utilisateur a été désactivé et à quel moment. Pour faire face à cela, nous avons tendance à désactiver le compte quand on nous dit qu'ils sont partis. Déplacez les comptes désactivés vers leur propre unité d'organisation et mettez à jour la description avec la date qu'ils ont laissée (elle est également utile pour nous permettre de désactiver les personnes qui disparaissent pendant une période prolongée et de les réactiver à leur retour).

Une fois qu'ils sont partis depuis 6 mois, nous les supprimons.

Mike1980
la source
Cette date ne peut-elle pas être "jouée" ou AD, à l'intérieur, stocke-t-il une date inactive qui n'est pas facilement modifiable par les administrateurs? Je suppose que vous pourriez regarder la date de la dernière modification, mais si vous la touchez, vous perdez cette histoire
Matt Rogish 10/09/2009
Cela pourrait très facilement être changé, heureusement, il n'est pas encore affiché :-) Si jamais il y a une requête, il y a toujours le dernier attribut modifié de l'objet utilisateur qui devrait avoir la même date que la date indiquée dans le champ de description du moment où le compte a été désactivé .
Mike1980
Bien sûr, rien n'empêche un administrateur de changer la date sur le contrôleur de domaine, de modifier le compte et de revenir à la date précédente ... Les analyses judiciaires sont très difficiles de nos jours.
Chris S
4

S'ils sont partis depuis plus de 3 mois, je supprime leurs comptes. Tous nos systèmes ont une redirection de dossiers et de bureaux imposée par les objets de stratégie de groupe pour Mes documents / Bureau, etc., donc après avoir supprimé, je les archive sur mon volume d’archives sur le serveur de fichiers.

Je suis habitué à utiliser des groupes de sécurité basés sur les rôles sur un compte A / N. Par conséquent, aucun utilisateur ne dispose d'autorisations sur le système de fichiers ni quoi que ce soit qui soit appliqué implicitement. Cela nécessite un peu de réflexion et de réflexion - mais je le recommande vivement, car cela simplifie grandement la gestion des autorisations sur un réseau Windows.

En ce qui concerne l'échange, j'exporte la boîte aux lettres avec ExMerge et mets le .pst avec le dossier archivé, puis je configure les messages de transfert ou de transfert en fonction du rôle de la personne qui est partie.

ColtonCat
la source
3

La politique de l'université que j'ai fréquentée et pour laquelle j'ai travaillé est la suivante:

Élèves

  • lors du retrait
    • désactiver le compte
    • 30 jours plus tard, supprimer si non ré-inscrit
  • graduation + 90 jours
    • désactiver le compte
    • créer une adresse de transfert "alun"
    • supprimer 30 jours plus tard

Personnel / Faculté

  • à la sortie
    • désactiver le compte
    • supprimer 30 jours plus tard
garenne
la source
3

La suppression de comptes d’ordinateurs peut poser un très gros problème: la loi.

En vertu de la directive européenne sur la protection des données, certains États membres (la Pologne en particulier) exigent de ne jamais attribuer le même ID utilisateur à une autre personne et de garder simultanément un journal des personnes et des dates auxquelles l'accès a été accordé et du moment où l'accès a été révoqué.

En bref: si vous traitez avec des données personnelles, mieux vaut demander à un avocat / équipe juridique.

Hubert Kario
la source
Quelqu'un at-il une source pour l'exigence polonaise? Je ne trouve cette exigence ni dans la directive de l'UE ni dans la législation mettant en œuvre la directive pour la Pologne ou le Royaume-Uni.
Adam Thompson
1
@AdamThompson: je ne pouvais malheureusement pas le trouver en anglais, mais le voici en polonais: giodo.gov.pl/144/id_art/1002/j/pl (Dz. U. z 2004, n ° 100, poz. 1024 ) vous pouvez le trouver à l’Annexe A, § IV, point 1: "Identyfikator uytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie."
Hubert Kario
1
Correction, je les ai trouvés ici: giodo.gov.pl/409/id_art/209/j/fr
Hubert Kario
Merci beaucoup, Hubert. Ma lecture de ceci suggérerait que vous ne pouvez pas réutiliser le même compte, mais créer un nouveau compte avec le même nom serait OK. L'ancien compte "[email protected]" serait supprimé et peut-être plus tard, un nouveau compte "[email protected]" serait créé - mais il aurait un SID ou un UID différent et serait donc un "Identyfikator" différent / ID. Les avocats peuvent peut-être argumenter, mais je ne suis pas sûr de savoir comment cela fonctionnerait dans le cas d'un système juridique de droit civil (par opposition à de droit commun).
Adam Thompson
1
@AdamThompson: Je suis à peu près sûr que c'est une lecture incorrecte. Voir II.2. "b) l'accès aux données n'est disponible qu'après saisie de l'identifiant et de l'authentification de l'utilisateur." Vous n'entrez pas le SID / UID, vous entrez le nom d'utilisateur lisible par l'homme, vous ne pouvez donc pas avoir deux utilisateurs avec "[email protected]". Maintenant, si vous pouvez créer plusieurs comptes partageant le même SID / UID ... que je ne connais pas, mais n’est probablement pas autorisé non plus.
Hubert Kario
2

Si vous avez sauvegardé toutes leurs données, je ne vois aucune raison de conserver le compte Active Directory. Cependant, je garderais leur compte de messagerie actif et le transférerais à quelqu'un d’autre dans le cas où un client le contacterait ou un autre associé.

Highstead
la source
2

J'ai deux clients consultants dont j'ai été employé à temps plein. Mon numéro de personnel et tout est identique, et je suis à peu près sûr qu'ils ne suppriment jamais les comptes AD - ils les désactivent simplement - à mon retour, ils m'ont rétabli.

Le seul problème que je vois, c’est que toutes les appartenances à mon groupe et tous les accès liés à mon SID (uniquement les membres du groupe AD, je pense) sont toujours là. Par conséquent, si je devais revenir avec une capacité réduite, la révision de ces adhésions être une étape critique.

Ensuite, que vous supprimiez et recréiez ou que vous désactiviez et activiez, si le samaccountname restait le même, TOUS les autres systèmes faisant référence à ce compte d'utilisateur devraient être nettoyés.

Jason Kleban
la source
2

Je travaille en tant que technicien de support à distance (Elevated HelpDesk) pour un utilitaire d'énergie Fortune 500. En raison de la nature de notre entreprise, nous avons tous les types de scénarios allant des entrepreneurs qui vont et viennent au vétéran de 20 ans décrit ci-dessus. D'après ce que j'ai vu, notre politique est coupée à sec.

Tous les comptes ont le dernier numéro de ticket, la date et le type de changement dans le champ de description. Par exemple Change Order 123456 Created on 00/00/00 by the access manager Terminated on 00/00/00ouRe-enabled on 00/00/00 by Manager's Name

Immédiatement après la notification d'une anomalie, le HelpDesk désactive le compte. Lors de la confirmation ou automatiquement après un délai déterminé, l'utilisateur de l'OU des comptes désactivés et ajoute trois tildes et la date de fin ( ~~~00/00/00) au nom complet pour permettre au personnel informatique et aux utilisateurs finaux d'identifier rapidement l'utilisateur que l'utilisateur n'est pas isolé avec l'entreprise. .

Je ne peux pas fournir d'informations sur ce qu'il advient des données. Je ne travaille pas dans ce département. Mais je sais qu'après un mois, le compte est complètement parti.

Ces concepts de données et de rétention, tout en protégeant l'organisation d'un employé mécontent, devraient faire partie des stratégies informatiques de toute organisation. Mais le temps entre chaque étape variera selon l'entreprise.

Cela nous aide vraiment dans le bureau, en particulier lors du dépannage des problèmes de messagerie.

J'espère que cela t'aides

kokan90
la source
1

Nous avons des gens qui se retirent régulièrement puis reviennent d'une semaine à six mois plus tard. Lorsque nous avons désactivé les comptes, nous avons eu un problème dont je ne me souviens plus de la nature actuelle ... peut-être lié au courrier électronique? Un autre avertissement? Nous avons changé notre procédure à la place pour que le mot de passe redevienne du charabia et qu'une note soit placée dans le champ de description détaillant la situation afin que toute autre personne modifiant leurs informations utilisateur le connaisse pour référence.

Le compte est finalement déployé peu importe le moment où ils sont censés avoir obtenu leur diplôme.

Supprimer le compte à ce moment-là ... Je dirais que c'est une question de politique générale, mais le fait de ne pas participer présente l'avantage de "jouer prudemment" en cas d'erreur ou de changement de situation. Ou bien, il suffit de supprimer les données pour que certaines personnes aient soudainement besoin d'accéder à certains fichiers, à des informations ou à des courriers, etc., mais cela peut être traité autrement si vous avez mis en place des stratégies permettant de restaurer les anciennes informations. Pour nous, il est tout simplement plus facile de garder des parties du compte pendant un certain temps jusqu'à ce qu'il soit établi que ce ne sera plus nécessaire, ce qui réduira certains efforts et le mal de tête plus tard.

Bart Silverstrim
la source