Saltar al contenido

Active Directory: eliminar o deshabilitar a los empleados que se fueron

Buscamos por todo el mundo online y así tener para ti la respuesta para tu duda, si continúas con alguna inquietud puedes dejar tu duda y te respondemos sin falta, porque estamos para ayudarte.

Solución:

Solución 1:

Deshabilitamos las cuentas. Sus “descripciones” se actualizan para indicar la fecha de salida, y se mueven en la jerarquía de AD a una carpeta según el estado de salida en el que se encuentren (ido + correo electrónico reenviado a algún lugar, ido + prearchivo, archivado).

Disponemos de una gran cantidad de archivos complejos y jerarquías de carpetas. Si elimina la cuenta de Active Directory, y el archivo / carpeta con ACL explícitas por usuario tendrá esos datos de ACL mostrados como un SID. Y no he encontrado ninguna forma de averiguar a partir de un SID qué cuenta solía ser, porque la cuenta ha sido eliminada.

De esta manera, cuando las personas están viendo problemas de propiedad / permisos que se comportan de manera extraña, podemos ver (y eliminar) las propiedades y los permisos de las personas que ya no están presentes.

Si elimina un usuario y luego descubre que ha cifrado algunos archivos y carpetas con EFS, no podrá descifrarlos.

Actualización, mucho más tarde: Aprendí de un colega que se está sometiendo a una auditoría de Microsoft que las cuentas de su AD requieren una licencia “por puesto” (si se está moviendo de esa manera), ya sea que sea una persona real o no y si la persona todavía está regalo. ¡Así que hay un argumento a favor de la eliminación!

Solución 2:

Una vez que renuncian, por lo general no regresan. No veo ninguna razón para aferrarme a cuentas antiguas. Esto es lo que hacemos:

Archivos:

  • Revise su escritorio (Mis documentos y Escritorio generalmente) y archive sus datos antiguos en el servidor de archivos de almacenamiento (solo unas pocas unidades de 1 tb en RAID-5)
  • Haga una copia de seguridad de su carpeta / usuario en el servidor de archivos normal en el archivo.

Correos electrónicos:

  • Haga una copia de seguridad de todos sus correos electrónicos (ya sea en pst o simplemente guarde su buzón, según el sistema operativo) y guárdelo en un lugar seguro. A veces, los gerentes necesitan acceso a los buzones de correo de ex empleados para recuperar correos electrónicos específicos.
  • Si es necesario, configuramos un reenvío de correo electrónico a una cuenta de gerente o compañeros de trabajo hasta que no llegue más correo.

Solución 3:

Aquí, en mi lugar de educación superior, tenemos una política de inhabilitación y retención durante 2 semanas.

  • Cuando su cuenta aparece en Banner como ‘inactiva’, el procesamiento por lotes de la noche siguiente iniciará el proceso de desactivación.
    • Sus cuentas de Novell están deshabilitadas Y se ha implementado una restricción de tiempo de inicio de sesión.
    • Sus cuentas de AD están deshabilitadas Y se ha implementado una restricción de tiempo de inicio de sesión.
    • Sus cuentas de Exchange están configuradas con una restricción de entrega para ellos mismos, lo que obliga a que todo el correo de esa cuenta rebote (nuevo en Exchange 2007, las cuentas deshabilitadas aún pueden recibir correo).
  • Transcurren dos semanas, durante las cuales los administradores pueden lanzar banderas de retención de datos. Nos ocupamos de los copos de nieve especiales durante este intervalo.
  • Al cabo de dos semanas, se depuran las cuentas, los directorios de usuarios y los buzones de correo.

Los administradores que solicitan acceso a los datos del directorio de usuarios reciben un CD, no acceso directo. Con demasiada frecuencia en el pasado, los administradores simplemente usan el directorio de usuarios como otro almacén de archivos.

Los administradores que solicitan acceso a los correos electrónicos reciben una exportación PST del buzón, no acceso directo.

Los gerentes se quejan de que dicho veterano de 20 años en el departamento era el único punto de contacto para una determinada función crítica y, por lo tanto, deben mantener el nombre para que los correos críticos no reboten, se tomen de la mano. Intentamos poner una regla de Fuera de la oficina en el buzón de correo discapacitado que indique que la persona se ha ido y, en su lugar, comuníquese con la Persona B. Luego, establecemos una fecha de eliminación definitiva para esa cuenta en el futuro adecuado para asegurarnos de que el mundo sepa que la Persona A ya no está aquí. NO ponemos esa dirección de correo electrónico en otro buzón si podemos evitarlo. No siempre tenemos éxito.

A veces, ese veterano de 20 años era el primer secretario de apoyo de un área y, por lo tanto, era un delegado de casi todos con un calendario que debía ser administrado. Tan pronto como una cuenta como esa se deshabilite, cualquier persona que envíe una cita a los calendarios administrados recibirá mensajes de rebote inusuales. La reactivación temporal de la cuenta detiene los mensajes devueltos mientras el personal de escritorio revisa y elimina manualmente a los Delegados de todos los buzones de correo. Esto puede demorar un par de días para que el personal de escritorio negocie con los propietarios de dichos calendarios para ingresar y realizar la configuración necesaria. Luego, la cuenta se vuelve a inhabilitar y estará sujeta a la eliminación habitual de 2 semanas. Esta es una ‘característica’ de Exchange que no me gusta particularmente.


Solución 4:

No soy fanático de eliminar inmediatamente una cuenta de AD después de que un empleado o contratista deja la empresa. Descubrí que es mejor deshabilitar durante al menos 30 días y luego eliminar las cuentas deshabilitadas 1 o 2 veces al año.

Hay un par de razones por las que no desea eliminar una cuenta de inmediato:

1- Medicina forense. Si su organización necesita emprender acciones legales contra un empleado o contratista, necesitará la cuenta original (SID).

2- Tareas automatizadas: los usuarios, especialmente los trabajadores de TI, tienden a configurar tareas automatizadas para realizar pensamientos como ejecutar trabajos, automatizar informes, reciclar servicios, etc. trabajos o tareas vinculadas a las identificaciones. No puede simplemente volver a crear la cuenta con el mismo nombre porque el SID no será el mismo y eso es lo que miran las tareas automatizadas, no el nombre visible de la cuenta.

Si deshabilita primero, siempre puede volver a habilitar la cuenta, cambiar o recuperar la contraseña y volver al negocio hasta que transfiera el trabajo a una cuenta de servicio legítima.


Solución 5:

Tenemos requisitos de auditoría bastante estrictos y, a menudo, se nos pide que demuestren que un usuario fue deshabilitado y cuándo. Para lidiar con esto, tendemos a deshabilitar la cuenta cuando nos dicen que se han ido. Mueva las cuentas deshabilitadas a su propia OU y actualice la descripción con la fecha en que se fueron (también es útil para permitirnos deshabilitar a las personas que desaparecen por un período prolongado de tiempo y volver a habilitarlas cuando regresen).

Una vez que se han ido durante 6 meses, los eliminamos.

valoraciones y reseñas

Si estás de acuerdo, eres capaz de dejar una reseña acerca de qué le añadirías a este escrito.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *