Active Directory : 삭제 된 직원과 퇴사 한 직원의 비활성화 [폐쇄]


32

직원이 조직을 떠날 때 Active Directory 계정을 삭제하거나 비활성화합니까? SOP는 Exchange 사서함을 사용하지 않도록 설정하고 내보내거나 제거한 다음 "일부 시간"이 경과 한 후 (보통 분기 별) 계정을 삭제하는 것입니다.

지연이 필요합니까? 메일 박스를 내보내고 삭제 한 후에 계정을 바로 삭제하면 안되는 이유는 무엇입니까?

답변:


17

일단 종료하면 보통 돌아 오지 않습니다. 오래된 계정에 매달릴 이유가 없습니다. 우리가하는 일은 다음과 같습니다.

파일 :

  • 데스크탑 (일반적으로 내 문서 및 데스크탑)을 통해 이전 데이터를 아카이브 파일 서버 (RAID-5의 1TB 드라이브 몇 개)에 아카이브하십시오.
  • 일반 파일 서버의 / user 폴더를 아카이브 서버에도 백업하십시오.

이메일 :

  • 모든 이메일을 백업하고 (OS에 따라 pst로 저장하거나 사서함을 저장하십시오) 안전한 장소에 보관하십시오. 때때로 관리자는 특정 이메일을 검색하기 위해 전직 직원 사서함에 액세스해야합니다.
  • 필요한 경우 더 이상 메일이 발송되지 않을 때까지 관리자 또는 동료 계정으로 이메일을 전달합니다.

2
나는 앞으로 나아가는 것을 좋아한다
Matt Rogish

-1 재 : 완벽하게 좋은 이유는 데이비드 매킨토시에 의해 주어진다 ... "나는 오래된 계정에 정지 할 이유 볼 수 없습니다"
Dscoduc

2
또한 교환 주소록에서 그들의 이름을 숨기는 것을 잊지 마십시오
benPearce

35

계정을 비활성화합니다. "설명"은 출발 날짜를 나타 내기 위해 업데이트되며, 현재 출발 상태에 따라 AD 계층 구조에서 폴더로 이동됩니다 (이메일은 어딘가로 전달, 이동 + 사전 아카이브, 보관 됨).

우리는 많은 양의 복잡한 파일과 폴더 계층을 가지고 있습니다. Active Directory에서 계정을 삭제하면 명시적인 사용자 별 ACL이있는 파일 / 폴더에 해당 ACL 데이터가 SID로 표시됩니다. 그리고 계정이 삭제 되었기 때문에 이전에 사용했던 계정을 SID에서 파악할 수있는 방법을 찾지 못했습니다.

이런 방식으로 사람들이 이상하게 발생하는 소유권 / 권한 문제를보고있을 때 더 이상 존재하지 않는 사람들의 소유권과 권한을보고 삭제할 수 있습니다.

훨씬 나중에 업데이트 : 본인의 AD 계정에 실제 사용자인지 여부에 관계없이 AD의 계정에 "좌석 당"라이센스가 필요하다는 Microsoft의 감사를받는 동료로부터 배웠습니다. 그 사람이 아직 존재하지 않습니다. 따라서 삭제에 대한 주장이 있습니다!


3
명시 적 ACL에 대한 SID의
장점

2
저의 관리자도이 주장을 사용합니다. 솔직히 말해서 계정 사용 중지에 찬성하지 않고 계정을 삭제하려고합니다. 모범 사례는 ACL에 대해 사용자에게 명시 적으로 권한을 부여해서는 안되며 SID가 표시되는 경우이를 제거하지 않는 이유는 무엇입니까?
fenster

4
"실제 모범 사례"는 실제 환경에서 항상 발생하는 것은 아니며, 특히 사용자가 권한을 엉망으로 만드는 경우에 특히 그렇습니다. 거기에 사용자 이름을 남긴다는 것은 책임있는 사람을 찾아서 (이들에게) 출발 한 사람들이 ... 음 ... 출발했을 때 일어날 일을 결정할 수 있음을 의미합니다.
David Mackintosh

2
비활성화 된 계정에는 cal이 필요합니까? 옳지 않은 것 같습니다. 활성화 된 계정을 이해하지만 실제로는
Jason Berg

1
MS는 왜 그런지에 대한 자세한 정보를 제공 했습니까? 나는 항상 사용자 당이 아니라 사용자 별이 계정 당이라고 들었습니다.
David

11

여기 Higher Ed 대신 2 주 동안 정책을 사용 중지하고 유지합니다.

  • 계정이 배너에 '비활성'으로 표시되면 다음날 일괄 처리에서 비활성화 프로세스가 시작됩니다.
    • Novell 계정이 비활성화되고 로그인 시간 제한이 설정되었습니다.
    • AD 계정이 비활성화되고 로그인 시간 제한이 설정되었습니다.
    • Exchange 계정은 배달 제한으로 설정되어 해당 계정의 모든 메일이 반송되도록합니다 (Exchange 2007의 새로운 기능으로, 비활성화 된 계정은 여전히 ​​메일을받을 수 있음).
  • 2 주가 경과하면 관리자가 데이터 보존 플래그를 던질 수 있습니다. 이 간격 동안 특수 눈송이를 처리합니다.
  • 2 주가 지나면 계정, 사용자 디렉터리 및 사서함이 제거됩니다.

사용자 디렉토리 데이터에 대한 액세스를 요청하는 관리자에게는 직접 액세스가 아닌 CD가 제공됩니다. 과거에 FAR은 너무 자주 관리자가 다른 파일 저장소로 사용자 디렉토리를 사용한다고 말했다.

이메일 액세스를 요청하는 관리자에게는 사서함에 대한 PST 내보내기가 제공되며 직접 액세스 할 수 없습니다.

관리자들은이 부서의 20 년 베테랑이 특정 중요한 기능을위한 유일한 연락처라고 말하면서 중요한 메일이 반송되지 않도록 이름을 유지해야한다고 주장했다. 사용하지 않는 사서함에 부재 중 규칙을 적용하여 해당 사용자가 떠났다는 메시지를 표시하고 대신 Person B에게 문의하십시오. 그런 다음, 개인 A가 더 이상 존재하지 않는다는 사실을 세계가 알 수 있도록 앞으로 해당 계정에 대해 적절한 삭제 날짜를 설정합니다. 도움이 될 수있는 경우 해당 이메일 주소를 다른 사서함에 넣지 마십시오. 우리는 항상 성공적인 것은 아닙니다.

때로는 20 년의 베테랑이 한 지역의 주요 비서 지원 이었기 때문에 관리가 필요한 달력을 가진 거의 모든 사람들의 대리인이었습니다. 이와 같은 계정이 사용 중지되면 관리 캘린더에 약속을 보내는 사람은 누구나 비정상적인 반송 메시지를 받게됩니다. 임시 직원이 계정을 다시 사용하도록 설정하면 데스크톱 직원이 모든 사서함에서 대리인을 통해 수동으로 제거하는 동안 반송 메시지가 중지됩니다. 데스크톱 직원이 캘린더 소유자와 협상하여 필요한 설정을하기까지 며칠이 걸릴 수 있습니다. 그런 다음 계정이 다시 사용 중지되며 일반적인 2 주 삭제가 적용됩니다. 이것은 내가 특히 싫어하는 Exchange의 '기능'중 하나입니다.


7

직원이나 계약자가 회사를 떠난 후 즉시 AD 계정을 삭제하는 것을 좋아하지 않습니다. 최소 30 일 동안 사용 중지 한 다음 1 년에 1-2 번 사용 중지 된 계정을 삭제하는 것이 가장 좋습니다.

계정을 즉시 삭제하지 않는 데는 몇 가지 이유가 있습니다.

1- 법의학. 조직에서 직원이나 계약자에 대해 법적 조치를 취해야하는 경우 원래 계정 (SID)이 필요합니다.

2-자동화 된 작업-사용자, 특히 IT 작업자는 작업 실행, 보고서 자동화, 서비스 재활용 등과 같은 생각을하기 위해 자동화 된 작업을 설정하는 경향이 있습니다. ID와 관련된 작업 또는 작업. SID가 동일하지 않기 때문에 동일한 이름으로 계정을 다시 만들 수 없으며 자동화 된 작업이 계정의 보이는 이름이 아닌 것입니다.

먼저 비활성화하면 계정을 다시 활성화하고 암호를 변경하거나 복구 할 수 있으며 업무를 합법적 인 서비스 계정으로 전환 할 때까지 업무를 다시 시작할 수 있습니다.


4

우리는 매우 엄격한 감사 요구 사항을 가지고 있으며, 종종 사용자가 언제 비활성화되었는지 증명하라는 요청을받습니다. 이 문제를 해결하기 위해 계정을 떠났다는 메시지가 표시되면 계정을 사용 중지하는 경향이 있습니다. 사용 중지 된 계정을 자신의 OU로 이동하고 남은 날짜로 설명을 업데이트합니다 (오랫 동안 사라진 사람을 사용 중지하고 다시 돌아올 때 다시 사용하도록 설정하는 데 유용함).

6 개월이 지나면 삭제됩니다.


해당 날짜를 "게임"하거나 AD에 관리자가 쉽게 편집 할 수없는 비활성 날짜를 저장할 수 없습니까? 나는 당신이 마지막으로 수정 된 날짜를 볼 수있을 것 같지만 당신이 그것을 만지면 당신은 그 역사를 잃어 버립니다
Matt Rogish

꽤 쉽게 변경 될 수 있습니다. 다행히도 아직 나오지 않았습니다. .
Mike1980

물론 관리자가 DC의 날짜를 변경하거나 계정을 수정하고 날짜를 다시 변경하는 것을 막을 수있는 것은 없습니다. 요즘 법의학은 정말 힘든 일입니다.
Chris S

4

3 개월 이상 지났 으면 계정을 삭제합니다. 모든 시스템에는 내 문서 / 데스크톱 등에 대한 GPO 적용 데스크톱 및 폴더 리디렉션이 있으므로 삭제 후 파일 서버의 아카이브 볼륨에 해당 파일을 아카이브합니다.

A / D에서 역할 기반 보안 그룹을 모든 용도로 사용하는 것에 대해 놀랍기 때문에 파일 시스템에 대한 권한이 있거나 암시 적으로 적용된 다른 사용자가 없으므로 사용자를 크게 삭제하지 않아도됩니다. 이것을 설정하려면 약간의 생각과 머리 긁기가 필요하지만 Windows 네트워크에서 권한을 관리하는 데 도움이되므로 실제로 권장합니다.

교환에 대해서는 ExMerge를 사용하여 사서함을 내보내고 .pst를 보관 된 폴더에 넣은 다음 남은 사람의 역할에 따라 메시지 전달 또는 반송 메시지를 설정합니다.


3

내가 참석하고 일한 대학의 정책은 다음과 같습니다.

재학생

  • 철수시
    • 계정 비활성화
    • 30 일 후 다시 등록하지 않으면 삭제
  • 졸업 + 90 일
    • 계정 비활성화
    • "alum"전달 주소 만들기
    • 30 일 후 삭제

교직원

  • 떠날 때
    • 계정 비활성화
    • 30 일 후 삭제

3

컴퓨터 계정을 삭제하는 데 큰 문제가있을 수 있습니다 : 법.

EU 데이터 보호 지침에 따라 일부 회원국 (특히 폴란드)은 다른 사용자에게 동일한 사용자 ID를 할당 할 필요가 없으며 동시에 액세스 권한이 부여 된 사람과 시간 및 액세스가 취소 된시기를 기록합니다.

간단히 말해 : 개인 데이터를 다루는 경우 변호사 / 법률 팀에 문의하는 것이 좋습니다.


누구나 폴란드어 요구 사항에 대한 출처가 있습니까? EU 지침 또는 폴란드 또는 영국에 대한 지침을 구현하는 법률에서이 요구 사항을 찾을 수 없습니다.
Adam Thompson

1
@AdamThompson : 불행히도 나는 영어로 그것을 찾을 수 없었지만 여기에 폴란드어로 있습니다 : giodo.gov.pl/144/id_art/1002/j/pl (Dz. U. z 2004 r. Nr 100, poz. 1024 ) 부록 A, § IV, 포인트 1에서 찾을 수 있습니다. "Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie."
Hubert Kario

1
수정, 나는 그들을 여기에서 발견했다 : giodo.gov.pl/409/id_art/209/j/ko
Hubert Kario

많은 감사합니다, 허버트 이 글을 읽으면 같은 계정을 재사용 할 수 없지만 같은 이름으로 새 계정을 만드는 것은 좋습니다. 이전 "adam@example.com"계정은 삭제되고 나중에 새 "adam@example.com"계정이 생성되지만 다른 SID 또는 UID를 가지므로 다른 "Identyfikator"가됩니다. / 아이디 아마도 변호사가 주장하는 것이 아닐 수도 있지만, 민법 법률 시스템과는 달리 어떻게 작동 할 지 모르겠지만 확실하지 않습니다.
Adam Thompson

1
@ AdamThompson : 나는 그것이 틀린 독서라고 확신합니다. II.2를 참조하십시오. "b) 식별자 및 사용자 인증을 입력 한 후에 만 ​​데이터에 액세스 할 수 있습니다." SID / UID를 입력하지 않고 사람이 읽을 수있는 사용자 이름을 입력하므로 "adam@example.com"을 가진 두 명의 사용자를 가질 수 없습니다. 동일한 SID / UID를 공유하는 계정을 여러 개 만들 수 있다면 ... 모릅니다. 그러나 아마도 허용되지 않을 것입니다.
Hubert Kario

2

모든 데이터를 백업 한 경우 활성 디렉토리 계정을 유지할 이유가 없습니다. 그러나 고객의 이메일 계정을 활성 상태로 유지하고 고객이 다른 사람에게 연락 할 수 있도록 다른 사람에게 이메일을 전달합니다.


2

전 직원으로 근무했던 상담 고객이 두 명 있습니다. 내 직원 번호와 모든 것이 동일하며 AD 계정을 삭제하지 않고 다시 사용 중지하면 다시 돌아 왔을 때 확신합니다.

내가 볼 수있는 유일한 문제는 내 SID (AD 그룹 멤버쉽 만, 내 생각에)와 관련된 모든 그룹 멤버쉽과 액세스가 여전히 존재한다는 것입니다. 따라서 축소 된 용량으로 돌아 오면 멤버십을 검토하면 중요한 단계입니다.

그런 다음 삭제 및 재 작성 여부 또는 비활성화 및 활성화 여부에 관계없이 samaccountname이 동일하게 유지되면 해당 사용자 계정을 참조하는 다른 모든 시스템을 제거해야합니다.


2

Fortune 500 에너지 유틸리티에 대한 원격 지원 (Elevated HelpDesk) 기술자로 일하고 있습니다. 우리 사업의 본질에 따라, 우리는 위에서 설명한 20 년의 베테랑을 오가는 계약자에 이르기까지 모든 유형의 시나리오를 가지고 있습니다. 내가 본 것에서 우리의 정책은 절제되고 건조합니다.

모든 계정에는 설명 필드에 마지막 티켓 번호와 날짜 및 변경 유형이 있습니다. 예 Change Order 123456 Created on 00/00/00 by the access manager Terminated on 00/00/00또는Re-enabled on 00/00/00 by Manager's Name

불일치가 통지되면 즉시 HelpDesk에서 계정을 비활성화합니다. 확인 후 또는 설정된 시간이 지나면 자동으로 비활성화 된 계정 OU에 사용자가 3 개의 물결표를 표시하고 종료 날짜 ( ~~~00/00/00)를 표시 이름으로 광고하여 IT 및 최종 사용자가 한 눈에 빠르게 식별 할 수 있도록합니다. .

데이터가 어떻게되는지에 대한 정보를 제공 할 수 없습니다. 나는 그 부서에서 일하지 않습니다. 그러나 나는 나방에 관한 이야기 ​​후에 계정이 완전히 사라 졌다는 것을 알고 있습니다.

이러한 데이터 및 보존 개념은 불만이없는 직원으로부터 조직을 보호하면서 조직의 IT 정책의 일부 여야합니다. 그러나 각 단계 사이의 시간은 회사마다 다릅니다.

특히 메시징 문제를 해결할 때 데스크톱에서 도움이됩니다.

이것이 도움이되기를 바랍니다.


1

일주일에서 6 개월 후에 일상적으로 철수 한 사람들이 있습니다. 계정을 사용 중지 할 때 현재의 성격을 기억할 수없는 문제가 발생했습니다. 아마도 이메일 관련일까요? 다른 경고? 대신 암호를 횡설수설하는 것으로 재설정하고 상황을 자세히 설명하는 설명 필드에 메모를 배치하여 사용자 정보를 편집하는 다른 사람이 참조 할 수 있도록 메모를 작성했습니다.

계정은 일단 졸업 한 후에는 결국 롤아웃됩니다.

그때 계정을 삭제하면 ... 정책 문제라고 말하지만 실수로 상황이 바뀌거나 상황이 바뀌면 "안전하게 플레이"하는 이점도 있습니다. 또는 단순히 데이터를 삭제하고 누군가 특정 파일이나 정보 또는 메일에 액세스해야하는 등의 결과가 발생하지만, 오래된 정보를 복원하기위한 정책이있는 경우 다른 방법을 통해 처리 될 수 있습니다. 우리에게는 더 이상 필요하지 않을 것으로 판단되고 나중에 약간의 노력과 두통이 줄어들 때까지 계정의 일부를 잠시 동안 유지하는 것이 더 쉽습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.