4
Domänenkonto nach Ausscheiden eines Mitarbeiters ohne Zugriff für diesen weiterverwenden
System: Windows Server 2003 (SBS)
Ich möchte für einen ausgeschiedenen Mitarbeiter dessen Zugriff sperren, so daß er sich nicht mehr an unseren Systemen anmelden kann, doch Mails an diesen Mitarbeiter sollen weiterhin zugestellt werden, weil er eine Abwesenheitsnotiz mit Verweis auf einen anderen Mitarbeiter eingerichtet hat (und das auch so bleiben soll). So sollen Absender von außerhalb noch eine Weile informiert werden, daß der Mitarbeiter nicht mehr bei uns ist.
Erste Idee war, das Konto in der Serververwaltungskonsole zu deaktivieren, doch kommen dann keine Mails mehr durch. Zweite Idee war, in den Eigenschaften unter "Konto" das Konto mit vergangenem Datum auf "abgelaufen" zu setzen. Dann kommen auch keine Mails an ihn an. Dritte, nicht so tolle Idee ist, sein Passwort zu ändern, damit er sich nicht mehr anmelden kann, den Account ansonsten aber so zu belassen wie bisher. Wenn ich ihn nur aus der Gruppe der Remote-Benutzer entferne, kann er sich über VPN, IMAP oder den direkten Zugriff auf den Rechner seiner Frau immer noch Zugang zu uns verschaffen. Das soll nicht sein. Hat jemand noch eine schönere Idee? Wie verfahrt Ihr mit ausgeschiedenen Mitarbeitern?
Ich möchte für einen ausgeschiedenen Mitarbeiter dessen Zugriff sperren, so daß er sich nicht mehr an unseren Systemen anmelden kann, doch Mails an diesen Mitarbeiter sollen weiterhin zugestellt werden, weil er eine Abwesenheitsnotiz mit Verweis auf einen anderen Mitarbeiter eingerichtet hat (und das auch so bleiben soll). So sollen Absender von außerhalb noch eine Weile informiert werden, daß der Mitarbeiter nicht mehr bei uns ist.
Erste Idee war, das Konto in der Serververwaltungskonsole zu deaktivieren, doch kommen dann keine Mails mehr durch. Zweite Idee war, in den Eigenschaften unter "Konto" das Konto mit vergangenem Datum auf "abgelaufen" zu setzen. Dann kommen auch keine Mails an ihn an. Dritte, nicht so tolle Idee ist, sein Passwort zu ändern, damit er sich nicht mehr anmelden kann, den Account ansonsten aber so zu belassen wie bisher. Wenn ich ihn nur aus der Gruppe der Remote-Benutzer entferne, kann er sich über VPN, IMAP oder den direkten Zugriff auf den Rechner seiner Frau immer noch Zugang zu uns verschaffen. Das soll nicht sein. Hat jemand noch eine schönere Idee? Wie verfahrt Ihr mit ausgeschiedenen Mitarbeitern?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 101222
Url: https://administrator.de/contentid/101222
Printed on: April 24, 2024 at 12:04 o'clock
4 Comments
Latest comment
Kennwort änder ist doch ne super Lösung.
Du kannst auch den VPN-Zugriff verweigern.
IMAP kannst du genau so deaktivieren.
Und du kannst sagen das sich der Benutzer nicht anmelden darf.
Das mit dem Rechner seiner Frau musst du etwas erklären.
Du kannst auch den VPN-Zugriff verweigern.
IMAP kannst du genau so deaktivieren.
Und du kannst sagen das sich der Benutzer nicht anmelden darf.
Das mit dem Rechner seiner Frau musst du etwas erklären.
wieso ist das Passwort zu ändern keine gute Idee?
Das wäre mein erster Schritt.
(Bei einem "plötzlichen" Wechsel noch wärend er beim Chef sitzt und seine Papiere bekommt...)
Wir verfahren in einem solchen Fall mit
- Email auf anderes Konto legen (Nachfolger oder Bereichsleiter) somit kann man sich die "Abwenheitsnotiz" sparen und es gehen keine Info´s verloren
- Konto wird deaktiviert bzw. mind. Passwort rückgesetzt und neues vergeben.
(damit evtl. für neuen Mitarbeiter umbenannt werden kann)
Das wäre mein erster Schritt.
(Bei einem "plötzlichen" Wechsel noch wärend er beim Chef sitzt und seine Papiere bekommt...)
Wir verfahren in einem solchen Fall mit
- Email auf anderes Konto legen (Nachfolger oder Bereichsleiter) somit kann man sich die "Abwenheitsnotiz" sparen und es gehen keine Info´s verloren
- Konto wird deaktiviert bzw. mind. Passwort rückgesetzt und neues vergeben.
(damit evtl. für neuen Mitarbeiter umbenannt werden kann)
Kennwort ändern scheint wohl doch am praktikabelsten, weil ich nicht an x Stellen alles einzeln ausschalten will. Wenn es irgendwo eine Stelle gäbe "verweigere ihm alles, aber lasse noch Mails herein" so in der Art, dann wäre mir das am liebsten gewesen. Gibts aber wohl nicht. So ändere ich dann halt das PW.
Da seine Frau weiterhin bei uns arbeitet, kann er durch ihren Rechner theoretisch alle Dienste weiter nutzen, also VPN und IMAP und bla. Das woltle ich ausschalten. Dann halt mit geändertem PW.
@ toomix:
Wie legt Ihr die Mailbox auf einen anderen Mitarbeiter um? Mit einem extra Programm? Wir sagen den Leuten bisher, sie sollen eine Weiterleitung auf den Chef beim Ausscheiden aktivieren, weil solche Zusatzsoftware zu teuer ist. Im nachhinein habe ich das mal versucht, aber da kam ich mit legalen Mitteln nicht heran, sprich: ohne Kennwort ändern und selbst in seine Mailbox gehen, um die Einstellung vorzunehmen.
Warum das mit dem Umbenennen des Benutzerkontos? Jede Person krtiegt bei uns ein neues Konto, das alte wird nicht weiterverwendet.
Da seine Frau weiterhin bei uns arbeitet, kann er durch ihren Rechner theoretisch alle Dienste weiter nutzen, also VPN und IMAP und bla. Das woltle ich ausschalten. Dann halt mit geändertem PW.
@ toomix:
Wie legt Ihr die Mailbox auf einen anderen Mitarbeiter um? Mit einem extra Programm? Wir sagen den Leuten bisher, sie sollen eine Weiterleitung auf den Chef beim Ausscheiden aktivieren, weil solche Zusatzsoftware zu teuer ist. Im nachhinein habe ich das mal versucht, aber da kam ich mit legalen Mitteln nicht heran, sprich: ohne Kennwort ändern und selbst in seine Mailbox gehen, um die Einstellung vorzunehmen.
Warum das mit dem Umbenennen des Benutzerkontos? Jede Person krtiegt bei uns ein neues Konto, das alte wird nicht weiterverwendet.
Man kann im AD die Benutzer umbenennen, das hat den Vorteil das zB. lokale Profile,
Gruppenmitgliedschaften, Berechtigungen usw. des "Vorgängers" weitergenutzt werden können. Natürlich kommt man um das zurücksetzen des Passworts nicht herum.
Das Umbenennen von Benutzern wird bei uns hauptsächlich bei Teamassistenten und Sekretärinnen Accounts benutzt.
Wir nutzen hier einen zwar WS2008 mit Exchange 2007 aber im SBS sollten diese Funtionen auch verfügbar sein.
Dort glaube ich über die Serververwaltungskonsole > Benutzer > Konto
Kontextmenü > umbennen
Das umleiten von Mails geht noch einfacher, einfach im Originalprofil die E-Mailadresse rauslöschen und im Chefpostfach als alternative Mailadresse eingeben.
Somit werden nun alle Mails an den Chef geleitet.
(es muss noch das Häckchen empfängerrichtlinie anwenden abgewählt werden)
Serververwaltungskonsole > Benutzer > Konto Kontextmenü > Eigenschaften > EMailadressen
Gruppenmitgliedschaften, Berechtigungen usw. des "Vorgängers" weitergenutzt werden können. Natürlich kommt man um das zurücksetzen des Passworts nicht herum.
Das Umbenennen von Benutzern wird bei uns hauptsächlich bei Teamassistenten und Sekretärinnen Accounts benutzt.
Wir nutzen hier einen zwar WS2008 mit Exchange 2007 aber im SBS sollten diese Funtionen auch verfügbar sein.
Dort glaube ich über die Serververwaltungskonsole > Benutzer > Konto
Kontextmenü > umbennen
Das umleiten von Mails geht noch einfacher, einfach im Originalprofil die E-Mailadresse rauslöschen und im Chefpostfach als alternative Mailadresse eingeben.
Somit werden nun alle Mails an den Chef geleitet.
(es muss noch das Häckchen empfängerrichtlinie anwenden abgewählt werden)
Serververwaltungskonsole > Benutzer > Konto Kontextmenü > Eigenschaften > EMailadressen
