jpselter
Goto Top

Kann ich ADS Konten ohne weiteres löschen?

Ich arbeite gerade an einer Richtlinie für das Berechtigungskonzept. Ein Teil ist "Deaktivierung und Löschung von ADS-Konten". Deaktivierung ist klar, aber was ist mit Löschung? Sollte man ADS-Konten überhaupt löschen, oder sind da noch relevante Daten hinter, die man, was weiß ich, 10 Jahre aufbewahren muss? Laut kfm. Geschäftsleitung sind in den Emails keine wichtigen Daten enthalten, weil alles relevante ausgedruckt wird. Aber was ist mit Aktionslogs oder generell mit der Nachverfolgbarkeit von Benutzeraktionen? Hängt da überhaupt etwas wichtiges hinter? Oder sollte man das Konto ein halbes Jahr deaktiviert aufbewahren und dann löschen? Was machen andere Firmen?
Danke für Tipps!

Content-Key: 107261

Url: https://administrator.de/contentid/107261

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: BrunOBaer
BrunOBaer 27.01.2009 um 13:48:39 Uhr
Goto Top
Hallo,

Ich empfehle dir im AD eine OU zu erstellen die du dann ausgeschiedene Kollegen nennst oder so, da verschiebst du dann alle rein. Grundsätzlich sollte nie ein AD-Konto gelöscht werden.
Wenn du jetzt AD-Konton hast die zu testzwecken genutzt wurden, brauchst du die natürlich nicht darein schieben.


Hoffe es hilft face-smile
Mitglied: Dani
Dani 27.01.2009 um 15:18:41 Uhr
Goto Top
Hi,
Ich empfehle dir im AD eine OU zu erstellen die du dann ausgeschiedene Kollegen nennst oder so, da verschiebst du dann alle rein. Grundsätzlich sollte nie ein AD-Konto gelöscht
werden.
Das kannst du vllt. bei 10 oder 50MA machen, aber denk dran: Jeder Benutzer braucht je nach Lizenzmodell eine Windows-Benutzer-Lizenz und eine Exchange-Client-Lizenz. D.h. es kann ganz schnell teurer werden.

... oder sind da noch relevante Daten hinter, die man, was weiß ich, 10 Jahre aufbewahren muss
Solche Mails müssen eigentlich vor der Zustellung an den Mailserver speziell archviert werden. Somit ist sichergestellt, dass keine Mails manipuliert worden sind. Wir z.B. sicher beim Verlassen sein Netzlaufwerk einfach auf ein extra Storage mit entsprechenden Namen. Somit sind keine Daten weg und es besteht noch der Zugriff falls in Zukunft noch die eine oder andere Datie benötigt wird. Der Zugriff auf die Daten muss je nach MA-Zahl mit Betriebsrat, GF abgestimmt werden!


Grüße,
Dani
Mitglied: 60730
60730 27.01.2009 um 16:43:40 Uhr
Goto Top
Servus,

und zu den ganzen Tipps noch einer dazu - ändere bei jedem User, der "möglicherweise" ausgeschieden gelöscht werden soll die Bezeichnung in das aktuelle Datum, sind die 3 oder 6 Monate außer Betrieb ist das löschen (den Zeitpunkt der inaktivierung siehts du dann ja) auch sicherer.

Gruß
Mitglied: JPSelter
JPSelter 27.01.2009 um 17:05:48 Uhr
Goto Top
Verbrauchen denn deaktivierte Benutzer eine Lizenz?
Mitglied: Dani
Dani 28.01.2009 um 10:50:54 Uhr
Goto Top
Moin,
leider ja....kommt aber auf dein Lizenzmodell an - man kann ja pro Benutzer oder pro COmputer. Bei Exchange wird eben pro Benutzer gemacht und dort kostet es dich auf jeden Fall jedes Mal Eine.


Grüße,
Dani
Mitglied: BrunOBaer
BrunOBaer 29.01.2009 um 00:19:53 Uhr
Goto Top
Genau, aber wenn du in einer Firma Arbeitest die z.B. Gold-Partner von Microsoft ist, dann solltest du alle Benutzer sichern auch wenn sie 2 Jahre alt sind. Alte Benutzer werden normalerweise erst nach 5 Jahren bzw. 10 Jahren gelöscht, laut Datensicherung. Ist es eine kleine Firma dann ist es egal vorallem wenn es um Lizenzen geht solltest du die Benutzer schnell löschen damit du Platz für neue hast.


mfg
Bruno
Mitglied: DMeyer
DMeyer 10.03.2009 um 23:55:38 Uhr
Goto Top
Zitat von @BrunOBaer:
Genau, aber wenn du in einer Firma Arbeitest die z.B. Gold-Partner von
Microsoft ist, dann solltest du alle Benutzer sichern auch wenn sie 2
Jahre alt sind.
mfg
Bruno

Kannst du mir erklären warum? Ich verstehe den Sinn nicht Benutzerkonten derart lange zu sichern?

Gruß

Daniel
Mitglied: BrunOBaer
BrunOBaer 11.03.2009 um 08:55:28 Uhr
Goto Top
Klar kann ich face-smile

Wenn du eine Komplette Microsoftumgebung hast beziehen sich alle funktionen auf das AD (wie z.B. der EXchange). Ein Kollege von dir haut jetzt ab aber was passiert mit seinen Mails ?

Was passiert mit den ganzen Berichten vom MOM (Microsoft Operation Manager) Solltest du sofort einen löschen bekommst du nur eine Folge von fehlern die dein System gut beeinträchtigen kann, da die Server versuchen das Konto zu suchen. Deaktivierst du ersteinmal ein Konto, kannst du mit der Zeit alle funktionen löschen die darauf basieren.

Ein Deaktiviertes Konto ist für die ersten Monate immer besser als ein gelöschtes Konto! erstrecht wenn du genug Lizensen hast.

Gruß

BrunO_o
Mitglied: HAWIKA
HAWIKA 03.07.2009 um 14:31:42 Uhr
Goto Top
Hi,
vielleicht ist so etwas eine Lösung:

Mit ArchiveUsers können Sie rechtskonform wahlweise die Benutzerinformationen, das Homeverzeichnis und Profilpfad sowie das Exchange Postfach eines ausgeschiedenen Mitarbeiters auf einem Laufwerk in komprimierter und protokollierter Form abspeichern und das Original löschen.
Das Besondere an ArchiveUser ist im Vergleich zu anderen AD Cleaner Programmen die besondere Berücksichtigung der Unternehmensrichtlinien durch ausführliche Protokollierung.

http://www.netsec.de/index.php?id=archiveusers-2009&L=5

HaWi