10
Windows Accounts von ausgeschiedenen Mitarbeitern verwalten
Hallo zusammen,
wie handhabt ihr das mit Accounts von Mitarbeiter, die aus dem Unternehmen ausgeschieden sind, löscht ihr diese oder deaktiviert ihr sie und legt sie in einem separaten Bereich um z.B. User ID's nicht doppelt zu belegen?
Mein Vorgänger, hat die alten Accounts deaktiviert und in einer separaten OU abgelegt. Bisher sehe ich da aber wenig Sinn?
Grüße Sebastian
wie handhabt ihr das mit Accounts von Mitarbeiter, die aus dem Unternehmen ausgeschieden sind, löscht ihr diese oder deaktiviert ihr sie und legt sie in einem separaten Bereich um z.B. User ID's nicht doppelt zu belegen?
Mein Vorgänger, hat die alten Accounts deaktiviert und in einer separaten OU abgelegt. Bisher sehe ich da aber wenig Sinn?
Grüße Sebastian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 289663
Url: https://administrator.de/contentid/289663
Printed on: April 24, 2024 at 05:04 o'clock
10 Comments
Latest comment
Hi,
also wir deaktivieren die, und löschen die dann nach einer Zeit.
Gruß
also wir deaktivieren die, und löschen die dann nach einer Zeit.
Gruß
Hi,
so machen wir das auch.
E.
so machen wir das auch.
E.
Hallo,
sofern du keine Berechtigungen (z.B. NTFS) auf Benutzer vergibst, was man besser vermeiden sollte, statt auf Gruppen, sollte man die Benutzerkonten löschen. Man sieht in den Berechtigungen ja nur noch die SID des Kontos, wenn es gelöscht wurde. Aber selbst in dem Fall sollte man sie löschen, man kann sich ja eine Tabelle machen mit dem Namen des Mitarbeiters und der SID; für alle Fälle.
Alles was man deaktivieren kann, kann man auch wieder aktivieren. Es hat beides Vor- und Nachteile. Ich persönlich lösche die Nutzerkonten, da die Wahrscheinlichkeit gleich null ist, dass der Mitarbeiter nochmal in die Firma zurück kommt. Ich sehe keinen Zweck darin sie aufzuheben, da selbst für Dokumentationszwecke andere Stellen als die IT zuständig sind.
Grüße Winary
sofern du keine Berechtigungen (z.B. NTFS) auf Benutzer vergibst, was man besser vermeiden sollte, statt auf Gruppen, sollte man die Benutzerkonten löschen. Man sieht in den Berechtigungen ja nur noch die SID des Kontos, wenn es gelöscht wurde. Aber selbst in dem Fall sollte man sie löschen, man kann sich ja eine Tabelle machen mit dem Namen des Mitarbeiters und der SID; für alle Fälle.
Alles was man deaktivieren kann, kann man auch wieder aktivieren. Es hat beides Vor- und Nachteile. Ich persönlich lösche die Nutzerkonten, da die Wahrscheinlichkeit gleich null ist, dass der Mitarbeiter nochmal in die Firma zurück kommt. Ich sehe keinen Zweck darin sie aufzuheben, da selbst für Dokumentationszwecke andere Stellen als die IT zuständig sind.
Grüße Winary
Ich habe bei der kompletten Neuinstallation unserer Domäne sogar bereits ausgeschiedene User neu angelegt und nutze jetzt auch eine OU mit deaktivierten Accounts. Grund war in diesem Fall das Mailarchiv, welches E-Mails bei E-Mailadressen, die einem Domänen-Benutzer aktiv zugeordnet sind, auch einem Domänen-Konto zuordnet. Das steigert ein wenig den Komfort, genau wie wenn man nochmal auf den Desktop oder ähnliches zugreifen muss. Zwigend nötig wäre das nicht.
Ein Grund, warum bei uns Konten nicht sofort sondern erst nach 90 Tagen gelöscht werden, ist, dass es schon häufig vorgekommen ist, dass Mitarbeiter abgemeldet wurden, obwohl die Abmeldung nur vorübergehend gedacht war (z.B. Mutterschaft oder längere Krankheit). Wenn das der IT so aber nicht mitgeteilt wird, dann ist das Konto weg.
Dass Nutzerkonten von Mitarbeitern, die längere Zeit nicht da sind, deaktiviert werden ist schon klar. Hier geht es aber um ausgeschiedene/entlassene Mitarbeiter.
Wenn es einen funktionierenden Workflow zwischen Personalstelle und IT gibt, dann wird der Grund der Abwesenheit oder eben die Entlassung mitgeteilt und dann reagiert man entsprechend entweder mit Deaktivieren oder Löschen.
Sollte dann doch noch irgendetwas sein gibt es ja für einen gewissen Zeittraum noch den AD-Papierkorb
Wenn es einen funktionierenden Workflow zwischen Personalstelle und IT gibt, dann wird der Grund der Abwesenheit oder eben die Entlassung mitgeteilt und dann reagiert man entsprechend entweder mit Deaktivieren oder Löschen.
Sollte dann doch noch irgendetwas sein gibt es ja für einen gewissen Zeittraum noch den AD-Papierkorb
Danke für euer Feedback. Bei uns funktioniert die Kommunikatio zwischen IT und HR sehr gut. aus diesem Grund werde ich deaktivierte Accounts nach 90 Tagen löschen.
Vielen Dank und gute Woche.
Sebastian.
Vielen Dank und gute Woche.
Sebastian.
Dass Nutzerkonten von Mitarbeitern, die längere Zeit nicht da sind, deaktiviert werden ist schon klar. Hier geht es aber um ausgeschiedene/entlassene Mitarbeiter.
Und genau das meine ich. Lesen!
Wenn ich mich an der Stelle kurz einklinken darf: Wie haltet ihr die 90-Tage-Löschung nach? Kalender, Export über Powershell, 3rd Party Tool, Automatismen, nach Gutdünken?
Danke und Gruß
T
Danke und Gruß
T
Wir haben definierte Prozesse. Es gibt Mitarbeiter, die haben u. a. die Aufgabe, einmal im Monat die Domänen zu sichten, und betreffende Konten zu löschen. Damit das funktioniert werden die betreffenden Konten bei Deaktivierung speziell gekennzeichnet (auch ein definierter Prozess). Bei uns sogar doppelt: Einmal durch eine Kennung im Beschreibungsfeld und ein weiteres Mal durch das Verschieben in eine dafür bestimmte OU.
