xbast1x
Goto Top

Windows Accounts von ausgeschiedenen Mitarbeitern verwalten

Hallo zusammen,

wie handhabt ihr das mit Accounts von Mitarbeiter, die aus dem Unternehmen ausgeschieden sind, löscht ihr diese oder deaktiviert ihr sie und legt sie in einem separaten Bereich um z.B. User ID's nicht doppelt zu belegen?

Mein Vorgänger, hat die alten Accounts deaktiviert und in einer separaten OU abgelegt. Bisher sehe ich da aber wenig Sinn?

Grüße Sebastian

Content-Key: 289663

Url: https://administrator.de/contentid/289663

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: killtec
Lösung killtec 30.11.2015 aktualisiert um 10:37:02 Uhr
Goto Top
Hi,
also wir deaktivieren die, und löschen die dann nach einer Zeit.

Gruß
Mitglied: emeriks
Lösung emeriks 30.11.2015 aktualisiert um 10:37:03 Uhr
Goto Top
Hi,
so machen wir das auch.

E.
Mitglied: Winary
Lösung Winary 30.11.2015 aktualisiert um 10:36:59 Uhr
Goto Top
Hallo,

sofern du keine Berechtigungen (z.B. NTFS) auf Benutzer vergibst, was man besser vermeiden sollte, statt auf Gruppen, sollte man die Benutzerkonten löschen. Man sieht in den Berechtigungen ja nur noch die SID des Kontos, wenn es gelöscht wurde. Aber selbst in dem Fall sollte man sie löschen, man kann sich ja eine Tabelle machen mit dem Namen des Mitarbeiters und der SID; für alle Fälle.

Alles was man deaktivieren kann, kann man auch wieder aktivieren. Es hat beides Vor- und Nachteile. Ich persönlich lösche die Nutzerkonten, da die Wahrscheinlichkeit gleich null ist, dass der Mitarbeiter nochmal in die Firma zurück kommt. Ich sehe keinen Zweck darin sie aufzuheben, da selbst für Dokumentationszwecke andere Stellen als die IT zuständig sind.

Grüße Winary
Mitglied: ukulele-7
ukulele-7 30.11.2015 um 10:14:12 Uhr
Goto Top
Ich habe bei der kompletten Neuinstallation unserer Domäne sogar bereits ausgeschiedene User neu angelegt und nutze jetzt auch eine OU mit deaktivierten Accounts. Grund war in diesem Fall das Mailarchiv, welches E-Mails bei E-Mailadressen, die einem Domänen-Benutzer aktiv zugeordnet sind, auch einem Domänen-Konto zuordnet. Das steigert ein wenig den Komfort, genau wie wenn man nochmal auf den Desktop oder ähnliches zugreifen muss. Zwigend nötig wäre das nicht.
Mitglied: emeriks
Lösung emeriks 30.11.2015 aktualisiert um 10:36:57 Uhr
Goto Top
Ein Grund, warum bei uns Konten nicht sofort sondern erst nach 90 Tagen gelöscht werden, ist, dass es schon häufig vorgekommen ist, dass Mitarbeiter abgemeldet wurden, obwohl die Abmeldung nur vorübergehend gedacht war (z.B. Mutterschaft oder längere Krankheit). Wenn das der IT so aber nicht mitgeteilt wird, dann ist das Konto weg.
Mitglied: Winary
Winary 30.11.2015 um 10:22:00 Uhr
Goto Top
Dass Nutzerkonten von Mitarbeitern, die längere Zeit nicht da sind, deaktiviert werden ist schon klar. Hier geht es aber um ausgeschiedene/entlassene Mitarbeiter.
Wenn es einen funktionierenden Workflow zwischen Personalstelle und IT gibt, dann wird der Grund der Abwesenheit oder eben die Entlassung mitgeteilt und dann reagiert man entsprechend entweder mit Deaktivieren oder Löschen.

Sollte dann doch noch irgendetwas sein gibt es ja für einen gewissen Zeittraum noch den AD-Papierkorb face-wink
Mitglied: xbast1x
xbast1x 30.11.2015 um 10:36:51 Uhr
Goto Top
Danke für euer Feedback. Bei uns funktioniert die Kommunikatio zwischen IT und HR sehr gut. aus diesem Grund werde ich deaktivierte Accounts nach 90 Tagen löschen.

Vielen Dank und gute Woche.

Sebastian.
Mitglied: emeriks
emeriks 30.11.2015 um 12:18:51 Uhr
Goto Top
Dass Nutzerkonten von Mitarbeitern, die längere Zeit nicht da sind, deaktiviert werden ist schon klar. Hier geht es aber um ausgeschiedene/entlassene Mitarbeiter.
Und genau das meine ich. Lesen!
Mitglied: Tezzla
Tezzla 30.11.2015 aktualisiert um 18:55:22 Uhr
Goto Top
Wenn ich mich an der Stelle kurz einklinken darf: Wie haltet ihr die 90-Tage-Löschung nach? Kalender, Export über Powershell, 3rd Party Tool, Automatismen, nach Gutdünken?

Danke und Gruß
T
Mitglied: emeriks
emeriks 01.12.2015 um 09:04:52 Uhr
Goto Top
Wir haben definierte Prozesse. Es gibt Mitarbeiter, die haben u. a. die Aufgabe, einmal im Monat die Domänen zu sichten, und betreffende Konten zu löschen. Damit das funktioniert werden die betreffenden Konten bei Deaktivierung speziell gekennzeichnet (auch ein definierter Prozess). Bei uns sogar doppelt: Einmal durch eine Kennung im Beschreibungsfeld und ein weiteres Mal durch das Verschieben in eine dafür bestimmte OU.