kostas
Goto Top

Benutzer richtig ersetzen

Hallo Zusammen,

wie kann man eigentlich einen User durch einen Nachfolger ersetzen so das alles ersetzt wird?
Wenn ich im DC einen User umbenenne, funktioniert das schon. Der Nachfolger kann mit den neuen Benutzerdaten sich anmelden. Auf dem Client-Rechner oder auf dem TS unter Users ist der Ordner immer noch so umbenannt. Wenn wenn die Anwendungen nach den Domain-User fragen, bekommen Sie die den gleichen alten Namen geliefert.
Bisher habe ich den User gelöscht und einen neuen User angelegt. Dann hat der neue User eine neue GUID bekommen und einen neuen Namen. Die alten Userprofile werden dabei nicht gelöscht.

Gibt es einen sauberen Weg einen User durch einen Nachfolger zu ersetzen?

Content-ID: 4854774425

Url: https://administrator.de/forum/benutzer-richtig-ersetzen-4854774425.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

em-pie
em-pie 08.04.2024 aktualisiert um 18:42:34 Uhr
Goto Top
Moin,

Wenn ich im DC einen User umbenenne, funktioniert das schon. Der Nachfolger kann mit den neuen Benutzerdaten sich anmelden
Aus meiner Sicht so bitte nicht.
Wir deaktivieren die Konten ausgeschiedener Mitarbeiter. Und nach zwei… drei Jahren wird der User gelöscht.
Dann ist in sämtlichen Systemen vorerst noch der User im Klarnamen und später nur noch mittels SID ersichtlich.
In deinem Fall ist es dann der neue Mitarbeiter (oder mittlerweile dessen Nachfolger) immer gewesen, sollte man mal etwas recherchieren müssen…

Besser immer einen neuen User anlegen (man kann den alten auch kopieren)
radiogugu
radiogugu 08.04.2024 um 19:59:41 Uhr
Goto Top
Zitat von @em-pie:
Besser immer einen neuen User anlegen (man kann den alten auch kopieren)

Nabend.

+1 für das Kopieren, wenn der Berechtigungs-Baum passt.

Umbenennen ist immer mit Querelen verbunden.

Schlimm genug, wenn Leute heiraten face-cool

Gruß
Marc
kreuzberger
kreuzberger 08.04.2024 um 22:30:10 Uhr
Goto Top
@Kostas

nene, den USER-Account einfach umbenennen und weiter durch eine andere Person nutzen lassen geht gar nicht. Datenschutz!!!!!!!! Was ist, wenn die neue Person in die Mails des Vorgängers gucken darf, die er von frau/freundin/freund bekam? neeeee neeeee.

Also, neuen Account anlegen ist Pflicht. Wo der Vorgänger in AD-Gruppen dabei war kann man ja nachsehen und entsprechend je nach bedarf übernehmen.

AAAABRR:
Schlimm genug, wenn Leute heiraten face-cool
hähä

Kreuzbergr
maretz
maretz 09.04.2024 um 06:31:33 Uhr
Goto Top
Umbenennen würde ich auch eher nicht, aber das ganze ggf. als Überlegung nehmen zu schauen ob man Berechtigungen nicht immer nur für GRUPPEN statt für Personen setzt. Selbst wenn die Gruppe nur 1 Member hat - kein Problem... Wenn du dann aber genau diesen Fall hast (oder da doch mal ne zweite Person zukommt) brauchst du nich viel tun - Benutzer den nötigen Gruppen zuweisen, schlafen gehen....
9697748851
9697748851 09.04.2024 aktualisiert um 08:32:10 Uhr
Goto Top
Und nach zwei… drei Jahren wird der User gelöscht.
Wie verhält es sich hier eigentlich mitm Datenschutz? EIGENTLICH darf man das ja so nicht speichern. Andererseits sollte man es können.

Interessiert mich tatsächlich.

Ansonsten: halte ich das wie die Kollegen: immer neu, alten deaktivieren.

Gruß

Vielen Dank @kpunkt, @em-pie
kpunkt
kpunkt 09.04.2024 aktualisiert um 07:47:22 Uhr
Goto Top
Wie verhält es sich hier eigentlich mitm Datenschutz? EIGENTLICH darf man das ja so nicht speichern. Andererseits sollte man es können.

Art. 6 Abs. 1 lit. f Berechtigtes Interesse
Daneben noch diverse Aufbewahrungsfristen.
em-pie
em-pie 09.04.2024 um 07:50:29 Uhr
Goto Top
Zitat von @9697748851:

Und nach zwei… drei Jahren wird der User gelöscht.
Wie verhält es sich hier eigentlich mitm Datenschutz? EIGENTLICH darf man das ja so nicht speichern. Andererseits sollte man es können.
Sehe hier kein Problem.
Das ist in unserem Löschkonzept so hinterlegt und wurde mit unserem ext. DSB abgestimmt (User wird im AD Akt. Kalenderjahr + 2Jahre vorgehalten, danach gelöscht). Obendrein hat jeder MA den Hinweis erhalten, dass es das Recht auf Vergessenwerden gibt. Sollte ein MA vorzeitig seine Daten (sofern gesetzlich zulässig) gelöscht haben wollen, wird das geprüft und der Wunsch „erfüllt“.
Bisher ist dem Wunsch bei uns aber noch keiner nachgekommen.

Interessiert mich tatsächlich.
Kraemer
Kraemer 09.04.2024 um 08:08:52 Uhr
Goto Top
Zitat von @kreuzberger:

nene, den USER-Account einfach umbenennen und weiter durch eine andere Person nutzen lassen geht gar nicht. Datenschutz!!!!!!!!

Aber nur, wenn die Firma so dämlich ist, die private Nutzung der IT zu erlauben. In allen anderen Fällen ist das Problemlos möglich!
NordicMike
NordicMike 09.04.2024 um 08:35:59 Uhr
Goto Top
Aber nur, wenn die Firma so dämlich ist, die private Nutzung der IT zu erlauben
Es gibt auch interne firmentechnische Vorgänge, die ein anderer nicht lesen sollte. Nicht nur bei privaten Emails.
departure69
departure69 09.04.2024 aktualisiert um 08:50:38 Uhr
Goto Top
@Kraemer:

Hallo.

Aber nur, wenn die Firma so dämlich ist, die private Nutzung der IT zu erlauben. In allen anderen Fällen ist das Problemlos möglich!

Hhmmm, so ganz stimmt das leider nicht.

Bevor wir unsere öffentlich bekannten Mailadressen (Webseite) auf Gruppen- bzw. Funktionsadressen bzw. -postfächer umgestellt hatten, konnten die Mailadressen so mancher einzelner Mitarbeiter auf unserer Webseite eingesehen werden (bis vor ein paar Jahren). Und wenn dann da jemand was privates hin sandte, wie hätte der Mitarbeiter das verhindern sollen? Der Empfang privater Mails kann nicht untersagt werden, wie soll das gehen?

Unseren Leuten ist untersagt, danach mit der Firmenmailadresse darauf zu antworten, denn ab dem Moment kann der Mitarbeiter eingreifen, vorher nicht.

Und wenn dann die ausgeschiedene Mitarbeiterin noch eine private Mail von irgendwem im Posteingang liegen hat, dann liegt diese Mail nunmal im Posteingang. Oder in "Gelöschte Objekte".

Auch insofern: Stets neuen User anlegen.


Viele Grüße

von

departure69
kreuzberger
kreuzberger 09.04.2024 um 09:06:10 Uhr
Goto Top
@Kraemer

JAIN, ein User/Userin kann ja nichts dagegen tun, private Mails im Dienstpostfach zu empfangen. Die sind dann eben nunmal da. Hier will dann der Bundesfinanzminister eine Aufbewahrungsfrist von 6 bis 10 Jahren.
Nun bin ich da kein Mailserver-Experte. Aber kann man da den Mailserver nicht grundsätzlich so konfigurieren, dass ALLE MAILS im Archiv landen und vom Usr unbeeinflussbar dort eben bleiben, aber sein persönliches Postfach kapazitätsbeschränkt von ihm verwaltet wird, also gelöscht werden MUSS, damit es nicht vollläuft.

Kreuzberger
goscho
goscho 09.04.2024 um 09:11:07 Uhr
Goto Top
Moin Leute,

ihr seht wieder nur schwarz oder weiß.
Natürlich ist es die sauberste Variante, einen neuen Benutzer anzulegen und die benötigten Daten des alten Benutzers diesem zur Verfügung zu stellen. Das gilt aber auch für die Mails des alten Mitarbeiters. Denn diese sind idR auch firmenrelevant.

Ich habe aber auch schon diverse Male bei Kunden AD-Benutzer umbenannt.
Bspw. war mal ein Kollege verstorben und der neue Mitarbeiter hat schon 3 Monate mit den Benutzerdaten des alten Mitarbeiters gearbeitet, bevor ich als externer Dienstleister davon erfuhr. Da hätte Neuanlegen keinen Sinn mehr gemacht.
kreuzberger
kreuzberger 09.04.2024 um 09:25:25 Uhr
Goto Top
Man könnte zur Sicherheit, damit alles reibungslos läuft, alle Passwörter jeweils draussen an die Zimmertür schreiben.

👍
Penny.Cilin
Penny.Cilin 09.04.2024 um 09:26:10 Uhr
Goto Top
Bspw. war mal ein Kollege verstorben und der neue Mitarbeiter hat schon 3 Monate mit den Benutzerdaten des alten Mitarbeiters gearbeitet, bevor ich als externer Dienstleister davon erfuhr. Da hätte Neuanlegen keinen Sinn mehr gemacht.

Dann hat der Kunde den Verstoß des Datenschutzes gemacht. Das ist seine Aufgabe, den Dienstleister rechtzeitig darüber zu informieren, daß eine neue Person die Aufgaben der in diesem Falle verstorbenen Person übernommen hat.
D.h. Neues Benutzerkonto, Einrichten der Berechtigungen analog zum Vorgänger, usw.

Und zudem gilt das Postgeheimnis / Briefgeheimnis aka Fernmeldegeheimnis bei E-Mail.
Infoquelle Datenschutz.org

Gruss Penny.
goscho
goscho 09.04.2024 um 09:54:19 Uhr
Goto Top
Zitat von @Penny.Cilin:

Bspw. war mal ein Kollege verstorben und der neue Mitarbeiter hat schon 3 Monate mit den Benutzerdaten des alten Mitarbeiters gearbeitet, bevor ich als externer Dienstleister davon erfuhr. Da hätte Neuanlegen keinen Sinn mehr gemacht.

Dann hat der Kunde den Verstoß des Datenschutzes gemacht. Das ist seine Aufgabe, den Dienstleister rechtzeitig darüber zu informieren, daß eine neue Person die Aufgaben der in diesem Falle verstorbenen Person übernommen hat.
Die 1. Aufgabe des Inhabers ist es, seine Firma zu erhalten.
Oftmals kollidiert der Datenschutz überhaupt nicht mit den Interessen der Firma - nämlich dann, wenn es keine privaten Dokumente gibt, weil diese nicht erlaubt sind.

Wenn ihr die Benutzerdaten des ehemaligen Mitarbeiters für den Nachfolger zur Verfügung stellt, geht ihr dann vorher jedes Dokument (von vielleicht mehreren Tausend) mit dem Datenschutzbeauftragten durch?

Und zudem gilt das Postgeheimnis / Briefgeheimnis aka Fernmeldegeheimnis bei E-Mail.
Infoquelle Datenschutz.org
Das Postgeheimnis gilt nicht bei geschäftlichen Briefen/Mails, so die private Kommunikation untersagt ist.
Wir sprechen hier nicht vom privaten Mailverkehr des ehemaligen Mitarbeiters, sondern vom bertriebsrelevanten.
DivideByZero
DivideByZero 09.04.2024 aktualisiert um 10:02:25 Uhr
Goto Top
Moin,

Zitat von @Penny.Cilin:
Und zudem gilt das Postgeheimnis / Briefgeheimnis aka Fernmeldegeheimnis bei E-Mail.
Infoquelle Datenschutz.org

Glücklicherweise gilt das nur, wenn den Mitarbeitern die private Nutzung geschäftlicher E-Mail-Systeme nicht verboten ist. Das Leben wird daher deutlich einfacher, wenn ein solches Verbot besteht. In diesem Fall sind sämtliche E-Mails sozusagen Firmeneigentum, und es muss nicht mehr unterschieden werden, was privat und was geschäftlich ist. Die Firma darf archivieren, aufbewahren, einsehen und löschen.

Das ist dann auch gänzlich unabhängig davon, ob jemand von außen in so einem Fall private E-Mails in das Postfach schickt. Die Firma muss dann nicht extra abwehren oder ausfiltern.

Gruß

DivideByZero
Kraemer
Kraemer 09.04.2024 um 10:24:21 Uhr
Goto Top
Unfassbar, was hier in einem Adminforum, für eine Stammtischgesetzgebung gepredigt wird!
Schön zu sehen, dass es aber doch informierte Ausnahmen gibt.
Geomatrix
Geomatrix 09.04.2024 um 10:45:38 Uhr
Goto Top
Zitat von @Kraemer:

Unfassbar, was hier in einem Adminforum, für eine Stammtischgesetzgebung gepredigt wird!
Schön zu sehen, dass es aber doch informierte Ausnahmen gibt.

So ist das halt in einem überadministrieren Bereich, da blickt am Ende keiner mehr durch. Davon kannst in der Regel immer ausgehen sobald du tausende Regeln und Vorgaben hast, das da immer was hinten runterfällt. Ist auch völlig normal, wie man oben schön lesen kann. Die Leute sind halt hier Admins, keine Anwälte und machen das meiste nach besten Wissen und Gewissen.
Aber das ist halt unser Ding in Deutschland.

Ich hab das auch schon in der Praxis erlebt, da kommst wo vorbei da arbeitet ein Mitarbeiter B mit dem Benutzer von Mitarbeiter A weil der vor 2 Jahren in Rente ging.
kpunkt
kpunkt 09.04.2024 um 11:35:19 Uhr
Goto Top
Nie vergessen: wo kein Kläger....

In vielen Bereichen kann man sich auch totregulieren. Im Alltag ist Pragmatismus angesagt.
Und das läuft in der Regel auch völlig problemlos. Wichtig ist halt, dass es immer einen Grund für ein bestimmtes Verhalten gibt.
Kostas
Kostas 09.04.2024 um 12:26:34 Uhr
Goto Top
Hallo Zusammen,

wenn ich das jetzt richtig verstanden habe, lege ich immer einen neuen User an. Der alte wird gesperrt für eine gewisse Zeit und fertig.
Den User RICHTIG und vollständig aus allen System zu entfernen mit allen Postfächern, Profilen und Registry Einträgen ist somit vom Microsoft nicht vorgesehen. Der User belegt ja auch Zugriffslizenzen. Ich muss also selbst alle System durchsuchen bei denen sich der User angemeldet hat. Damit hat er eben unter user einen Ordner angelegt. Ich muss also manuell jeden Client besuchen, durchsuchen und löschen. Aber das ist ja nur die halbe Wahrheit. Etliche Registry Einträge bleiben ja erhalten . Anscheinend ist das Microsoft egal.
kreuzberger
kreuzberger 09.04.2024 um 12:35:24 Uhr
Goto Top
@Kostas

ja. damit wird man wohl leben müssen.


Ich las aber mal von PowerShell Scripten, die User-Accounts lokal von Client-Win-Systemen in eine ZIP schreiben und dann gänzlich aus dem System löschen.

Ob man das sogar Netzweit im AD durchführen lassen kann wäre natürlich klasse, wenn man nicht weiss wo überall der User sich mal angemeldet hatte.

Aber zunächst erstmal ein Account im AD stilllegen (oder einfach ein anderes Password vergeben als Admin) ist ratsam, damit mit dem Account kein Schindluder getrieben werden kann.

Kreuzberger
9697748851
9697748851 09.04.2024 aktualisiert um 19:53:05 Uhr
Goto Top
Moin,

Der User belegt ja auch Zugriffslizenzen
Heißt: M365 (schließe ich einfach mal?) -> Hier gibt es das Feature: "Überall abmelden" und "Anmeldung sperren".
Aus dem Postfach ein shared postfach umwandeln, M365 Lizenz(en) entziehen, gut? (Idealerweise: Passwort ändern)

Seine Ordner sind erstmal auch für normale User gesperrt.

Neuer User -> Neue Lizenz -> Neues Postfach (ggf. neuem User das shared postfach zuweisen [sofern private Nutzung verboten ist]).

Möglicherweise verstehe ich aber auch die Hälfte falsch.

besuchen, durchsuchen und löschen
Gibt GPOs die Profile löschen lassen, wenn das Profil seit X Tagen nicht angemeldet wurde.

Registry Einträgen
Außer ein paar kb an Datenmüll, dürfte das keine Relevanz haben. Kommt der normaluser eh nicht hin.

Viele Grüße
departure69
departure69 09.04.2024 um 16:20:20 Uhr
Goto Top
@Kostas:

Hallo.

Die Lizenzverwaltung sämtlicher lizenzpflichtiger Anwendungen, nicht nur derer von Microsoft, sollte man ohnehin auch anderweitig im Griff haben, und nicht (nur) dadurch, daß man einen User löscht, umbenennt oder was auch immer.

Und die evtl. auf verschiedenen Rechnern noch herumliegenden Profile sind doch sicher, da kommt doch ohne passendes Kerberos-Ticket - außer Dir als Admin - niemand hin?

Ich hatte noch nie Probleme mit ausgeschiedenen Usern, AD-Konto deaktivieren, Home- (Basisverzeichnis-)-Inhalte und Postfachinhalte an Nachfolger weitergeben, und irgendwann mal den ausgeschiedenen User mitsamt Daten löschen. Und falls das - noch später - doch noch irgendwelche Probleme macht oder irgendetwas nachgesehen werden muß, gibt's dafür das Backup. Den User aus der Benutzerverwaltung in der jew. Datenbank einer Fachanwendung herauslöschen sollte man bei den meisten Fachanwendungen ohnehin nicht, die Datensätze müssen zumeist demjenigen zugeordnet bleiben, der sie mal erstellt hat.

Viele Grüße

von

departure69

Viele Grüße

von

departure69
Dani
Dani 09.04.2024 um 17:23:54 Uhr
Goto Top
Moin,
Den User RICHTIG und vollständig aus allen System zu entfernen mit allen Postfächern, Profilen und Registry Einträgen ist somit vom Microsoft nicht vorgesehen. Der User belegt ja auch Zugriffslizenzen. Ich muss also selbst alle System durchsuchen bei denen sich der User angemeldet hat.
Im Idealfall hast du eine Übersicht aus der hervorgeht auf welche Anwendungen der User Zugriff hat. Das ist nämlich auch u.a. für einen Disaster Recovery Fall hilfreich oder eben für Lizenz Audits.


Gruß,
Dani
Kostas
Kostas 09.04.2024 um 21:19:46 Uhr
Goto Top
Ja dann ist es eben so. Ich halte meine Systeme gerne sauber wenn möglich. Es hat mich schon immer gestört warum bestimmte Dinge einfach hingenommen werden wie so vieles bei großen Firmen. In meinem beruflichen Leben habe ich immer ordentliche Arbeit liefen müssen und wurde so auch von meinem Vorgesetzen verlangt.

Ich hatte gehofft das es in Windows schon vorgesehen ist einen User systemweit sauber vollständig und ohne Rückstände zu löschen und ich der einzige bin der das nicht weiß.
departure69
departure69 10.04.2024 um 08:16:40 Uhr
Goto Top
@Kostas:

Bleiben aber immer noch benutzerbezogene Datenbank-, Benutzerverwaltungs-, Protokoll- und sonstige Einträge in Software, die in Deinem Netzwerk bzw. auf den von Dir betreuten Clients und Servern installiert ist und NICHT von Microsoft stammt. Wird dann doch vermutlich auch Handarbeit sein? Du kriegst es niemals "einfach" sauber. Schon gar nicht "systemweit". Wobei Du erstmal festlegen müßtest, was "systemweit" überhaupt umfassen soll.

Und Du bist mit Deiner Beschwerde recht spät dran, seit Microsoft mit Netzwerken überhaupt zu tun hat - auch schon vor einer Verzeichnisdiensttechnologie wie Active Directory (also auch schon vor Windows 2000) - war es noch nie vorgesehen, mit einem Mausklick alles zu entfernen, was je ein User irgendwo zurückgelassen hat. Vielleicht, weil's das so nicht sinnvoll - weil gefährlich - wäre? "Ups, falschen User gelöscht, alles weg, verdammt ...". Und die Backup-Rekonstruktion gar nicht mal so einfach und zeitraubend?

Ansonsten: Microsoft hat bestimmt gerade Stellenausschreibungen. Direkt in der Zentrale in Redmond. Zeig' denen, wie man das macht!


Viele Grüße

von

departure69
goscho
goscho 10.04.2024 um 08:57:43 Uhr
Goto Top
Zitat von @departure69:
Ich hatte noch nie Probleme mit ausgeschiedenen Usern, AD-Konto deaktivieren, Home- (Basisverzeichnis-)-Inhalte und Postfachinhalte an Nachfolger weitergeben, und irgendwann mal den ausgeschiedenen User mitsamt Daten löschen. Und falls das - noch später - doch noch irgendwelche Probleme macht oder irgendetwas nachgesehen werden muß, gibt's dafür das Backup.
Sehe ich auch so.
Den User aus der Benutzerverwaltung in der jew. Datenbank einer Fachanwendung herauslöschen sollte man bei den meisten Fachanwendungen ohnehin nicht, die Datensätze müssen zumeist demjenigen zugeordnet bleiben, der sie mal erstellt hat.
Und dann gibt es auch Softwarehersteller, die lizenzieren ihre Programme mittlerweile so, dass man sie zwar auf unendlich vielen Geräten im selben Netzwerk installieren kann, aber nur so viele Benutzer in der eigenen Benutzerdatenbank anlegen darf, wie man Lizenzen hat.
Wenn also einer wechselt, muss der neue mit dem anderen Namen weiterarbeiten oder aber der alte wird gelöscht und der neue angelegt.
Irgendwann finden die Hersteller dann noch einen Grund, warum alte Benutzer nicht mehr gelöscht werden dürfen und dann braucht man für jeden neuen Benutzer eine neue Lizenz.
Kostas
Kostas 10.04.2024 aktualisiert um 10:23:38 Uhr
Goto Top
Ansonsten: Microsoft hat bestimmt gerade Stellenausschreibungen. Direkt in der Zentrale in Redmond. Zeig' denen, wie man das macht!

Microsoft interessiert sich nicht für seine Anwender. Deshalb macht es leider keinen Sinn. Übrigens, die andern großen wie HP und Co. sind auch nicht besser, leider.

[Edit]
Noch eine Kleinigkeit: Ich wollte mich nicht beschweren. Ich hatte nur gehofft dass es doch eine Möglichkeit gibt die ich als NICHT Administrator einfach nur nicht kenne. Hier in diesem Forum sind ja Echte Vollblut-Administratoren die solche Sachen wissen könnten. Es ist ja auch bestätigt dass es eben nichts gibt und das ist für mich eben auch in Ordnung.