직원이 조직을 떠날 때 Active Directory 계정을 삭제하거나 비활성화합니까? SOP는 Exchange 사서함을 사용하지 않도록 설정하고 내보내거나 제거한 다음 “일부 시간”이 경과 한 후 (보통 분기 별) 계정을 삭제하는 것입니다.
지연이 필요합니까? 메일 박스를 내보내고 삭제 한 후에 계정을 바로 삭제하면 안되는 이유는 무엇입니까?
답변
일단 종료하면 보통 돌아 오지 않습니다. 오래된 계정에 매달릴 이유가 없습니다. 우리가하는 일은 다음과 같습니다.
파일 :
- 데스크탑 (일반적으로 내 문서 및 데스크탑)을 통해 이전 데이터를 아카이브 파일 서버 (RAID-5의 1TB 드라이브 몇 개)에 아카이브하십시오.
- 일반 파일 서버의 / user 폴더를 아카이브 서버에도 백업하십시오.
이메일 :
- 모든 이메일을 백업하고 (OS에 따라 pst로 저장하거나 사서함을 저장하십시오) 안전한 장소에 보관하십시오. 때때로 관리자는 특정 이메일을 검색하기 위해 전직 직원 사서함에 액세스해야합니다.
- 필요한 경우 더 이상 메일이 발송되지 않을 때까지 관리자 또는 동료 계정으로 이메일을 전달합니다.
답변
계정을 비활성화합니다. “설명”은 출발 날짜를 나타 내기 위해 업데이트되며, 현재 출발 상태에 따라 AD 계층 구조에서 폴더로 이동됩니다 (이메일은 어딘가로 전달, 이동 + 사전 아카이브, 보관 됨).
우리는 많은 양의 복잡한 파일과 폴더 계층을 가지고 있습니다. Active Directory에서 계정을 삭제하면 명시적인 사용자 별 ACL이있는 파일 / 폴더에 해당 ACL 데이터가 SID로 표시됩니다. 그리고 계정이 삭제 되었기 때문에 이전에 사용했던 계정을 SID에서 파악할 수있는 방법을 찾지 못했습니다.
이런 방식으로 사람들이 이상하게 발생하는 소유권 / 권한 문제를보고있을 때 더 이상 존재하지 않는 사람들의 소유권과 권한을보고 삭제할 수 있습니다.
훨씬 나중에 업데이트 : 본인의 AD 계정에 실제 사용자인지 여부에 관계없이 AD의 계정에 “좌석 당”라이센스가 필요하다는 Microsoft의 감사를받는 동료로부터 배웠습니다. 그 사람이 아직 존재하지 않습니다. 따라서 삭제에 대한 주장이 있습니다!
답변
여기 Higher Ed 대신 2 주 동안 정책을 사용 중지하고 유지합니다.
- 계정이 배너에 ‘비활성’으로 표시되면 다음날 일괄 처리에서 비활성화 프로세스가 시작됩니다.
- Novell 계정이 비활성화되고 로그인 시간 제한이 설정되었습니다.
- AD 계정이 비활성화되고 로그인 시간 제한이 설정되었습니다.
- Exchange 계정은 배달 제한으로 설정되어 해당 계정의 모든 메일이 반송되도록합니다 (Exchange 2007의 새로운 기능으로, 비활성화 된 계정은 여전히 메일을받을 수 있음).
- 2 주가 경과하면 관리자가 데이터 보존 플래그를 던질 수 있습니다. 이 간격 동안 특수 눈송이를 처리합니다.
- 2 주가 지나면 계정, 사용자 디렉터리 및 사서함이 제거됩니다.
사용자 디렉토리 데이터에 대한 액세스를 요청하는 관리자에게는 직접 액세스가 아닌 CD가 제공됩니다. 과거에 FAR은 너무 자주 관리자가 다른 파일 저장소로 사용자 디렉토리를 사용한다고 말했다.
이메일 액세스를 요청하는 관리자에게는 사서함에 대한 PST 내보내기가 제공되며 직접 액세스 할 수 없습니다.
관리자들은이 부서의 20 년 베테랑이 특정 중요한 기능을위한 유일한 연락처라고 말하면서 중요한 메일이 반송되지 않도록 이름을 유지해야한다고 주장했다. 사용하지 않는 사서함에 부재 중 규칙을 적용하여 해당 사용자가 떠났다는 메시지를 표시하고 대신 Person B에게 문의하십시오. 그런 다음, 개인 A가 더 이상 존재하지 않는다는 사실을 세계가 알 수 있도록 앞으로 해당 계정에 대해 적절한 삭제 날짜를 설정합니다. 도움이 될 수있는 경우 해당 이메일 주소를 다른 사서함에 넣지 마십시오. 우리는 항상 성공적인 것은 아닙니다.
때로는 20 년의 베테랑이 한 지역의 주요 비서 지원 이었기 때문에 관리가 필요한 달력을 가진 거의 모든 사람들의 대리인이었습니다. 이와 같은 계정이 사용 중지되면 관리 캘린더에 약속을 보내는 사람은 누구나 비정상적인 반송 메시지를 받게됩니다. 임시 직원이 계정을 다시 사용하도록 설정하면 데스크톱 직원이 모든 사서함에서 대리인을 통해 수동으로 제거하는 동안 반송 메시지가 중지됩니다. 데스크톱 직원이 캘린더 소유자와 협상하여 필요한 설정을하기까지 며칠이 걸릴 수 있습니다. 그런 다음 계정이 다시 사용 중지되며 일반적인 2 주 삭제가 적용됩니다. 이것은 내가 특히 싫어하는 Exchange의 ‘기능’중 하나입니다.
답변
직원이나 계약자가 회사를 떠난 후 즉시 AD 계정을 삭제하는 것을 좋아하지 않습니다. 최소 30 일 동안 사용 중지 한 다음 1 년에 1-2 번 사용 중지 된 계정을 삭제하는 것이 가장 좋습니다.
계정을 즉시 삭제하지 않는 데는 몇 가지 이유가 있습니다.
1- 법의학. 조직에서 직원이나 계약자에 대해 법적 조치를 취해야하는 경우 원래 계정 (SID)이 필요합니다.
2-자동화 된 작업-사용자, 특히 IT 작업자는 작업 실행, 보고서 자동화, 서비스 재활용 등과 같은 생각을하기 위해 자동화 된 작업을 설정하는 경향이 있습니다. ID와 관련된 작업 또는 작업. SID가 동일하지 않기 때문에 동일한 이름으로 계정을 다시 만들 수 없으며 자동화 된 작업이 계정의 보이는 이름이 아닌 것입니다.
먼저 비활성화하면 계정을 다시 활성화하고 암호를 변경하거나 복구 할 수 있으며 업무를 합법적 인 서비스 계정으로 전환 할 때까지 업무를 다시 시작할 수 있습니다.
답변
우리는 매우 엄격한 감사 요구 사항을 가지고 있으며, 종종 사용자가 언제 비활성화되었는지 증명하라는 요청을받습니다. 이 문제를 해결하기 위해 계정을 떠났다는 메시지가 표시되면 계정을 사용 중지하는 경향이 있습니다. 사용 중지 된 계정을 자신의 OU로 이동하고 남은 날짜로 설명을 업데이트합니다 (오랫 동안 사라진 사람을 사용 중지하고 다시 돌아올 때 다시 사용하도록 설정하는 데 유용함).
6 개월이 지나면 삭제됩니다.
답변
3 개월 이상 지났 으면 계정을 삭제합니다. 모든 시스템에는 내 문서 / 데스크톱 등에 대한 GPO 적용 데스크톱 및 폴더 리디렉션이 있으므로 삭제 후 파일 서버의 아카이브 볼륨에 해당 파일을 아카이브합니다.
A / D에서 역할 기반 보안 그룹을 모든 용도로 사용하는 것에 대해 놀랍기 때문에 파일 시스템에 대한 권한이 있거나 암시 적으로 적용된 다른 사용자가 없으므로 사용자를 크게 삭제하지 않아도됩니다. 이것을 설정하려면 약간의 생각과 머리 긁기가 필요하지만 Windows 네트워크에서 권한을 관리하는 데 도움이되므로 실제로 권장합니다.
교환에 대해서는 ExMerge를 사용하여 사서함을 내보내고 .pst를 보관 된 폴더에 넣은 다음 남은 사람의 역할에 따라 메시지 전달 또는 반송 메시지를 설정합니다.
답변
내가 참석하고 일한 대학의 정책은 다음과 같습니다.
재학생
- 철수시
- 계정 비활성화
- 30 일 후 다시 등록하지 않으면 삭제
- 졸업 + 90 일
- 계정 비활성화
- “alum”전달 주소 만들기
- 30 일 후 삭제
교직원
- 떠날 때
- 계정 비활성화
- 30 일 후 삭제