11
Starter Leaver Process
Hallo zusammen,
es geht um den Eintritt und Austritt von Mitarbeitern aus der Firma.
Wir haben dafür Formulare erstellt die der Vorgesetzte ausfüllt und der IT zukommen lässt.
Das klappt auch soweit so gut, aber wir haben ein Problem mit externen Zugängen, die der Mitarbeiter im Laufe der Zeit erhalten hat.
Wie handhabt ihr dieses Problem, sodass auch diese Zugänge gesperrt/gelöscht/deaktiviert werden?
es geht um den Eintritt und Austritt von Mitarbeitern aus der Firma.
Wir haben dafür Formulare erstellt die der Vorgesetzte ausfüllt und der IT zukommen lässt.
Das klappt auch soweit so gut, aber wir haben ein Problem mit externen Zugängen, die der Mitarbeiter im Laufe der Zeit erhalten hat.
Wie handhabt ihr dieses Problem, sodass auch diese Zugänge gesperrt/gelöscht/deaktiviert werden?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1117907933
Url: https://administrator.de/contentid/1117907933
Printed on: April 25, 2024 at 04:04 o'clock
11 Comments
Latest comment
Hi POlOwmen,
bei uns läuft soetwas auch noch sehr gemischt. Wir sind jedoch dabei häufiger mit LDAP, SingleSignOn und 2FA zu arbeiten. Vieles ist aber leider auch abhängig von der Anwendung und den bereitgestellten Schnittstellen.
BG
denkis
bei uns läuft soetwas auch noch sehr gemischt. Wir sind jedoch dabei häufiger mit LDAP, SingleSignOn und 2FA zu arbeiten. Vieles ist aber leider auch abhängig von der Anwendung und den bereitgestellten Schnittstellen.
BG
denkis
Moin,
was verstehst du denn unter "externen Zugängen"? VPN in euer LAN?
Wir machen was geht über SSO/SAML/ADFS - dann gilt: AD Account Weg == alle Zugänge weg.
Für alles andere hilft nur: dokumentieren! und dann entsprechend löschen.
lg,
Slainte
was verstehst du denn unter "externen Zugängen"? VPN in euer LAN?
Wir machen was geht über SSO/SAML/ADFS - dann gilt: AD Account Weg == alle Zugänge weg.
Für alles andere hilft nur: dokumentieren! und dann entsprechend löschen.
lg,
Slainte
Mahlzeit!
Bei uns ist das Ganze SSO. Deaktiviere ich das Windows-Konto des MAs, kommt er auch nicht mehr von außen ran.
Da es hin und wieder zu verspäteter oder fehlender Kommunikation wegen ausscheidender MAs kommt, wollte ich eigentlich schon die Konten von vorneherein ablaufen lassen, so dass ein Lebenszeichen in meine Richtung erforderlich ist.
VG
bdmvg
Bei uns ist das Ganze SSO. Deaktiviere ich das Windows-Konto des MAs, kommt er auch nicht mehr von außen ran.
Da es hin und wieder zu verspäteter oder fehlender Kommunikation wegen ausscheidender MAs kommt, wollte ich eigentlich schon die Konten von vorneherein ablaufen lassen, so dass ein Lebenszeichen in meine Richtung erforderlich ist.
VG
bdmvg
die Konten von vorneherein ablaufen lassen
Der Gedanke kam uns hier auch schon. Aus den gleichen Gründen 
Moin,
Das ist die entscheidende Frage.
Es könnten auch Zugänge zu Portalen der Lieferanten/ Kunden/ Zoll etc. sein..
Gruß
em-pie
Das ist die entscheidende Frage.
Es könnten auch Zugänge zu Portalen der Lieferanten/ Kunden/ Zoll etc. sein..
Gruß
em-pie
Zitat von @em-pie:
Moin,
Das ist die entscheidende Frage.
Es könnten auch Zugänge zu Portalen der Lieferanten/ Kunden/ Zoll etc. sein..
Gruß
em-pie
Moin,
Das ist die entscheidende Frage.
Es könnten auch Zugänge zu Portalen der Lieferanten/ Kunden/ Zoll etc. sein..
Gruß
em-pie
Hallo zusammen,
genau. Es geht eher um Portale, wo wir keine AD Anbindung haben.
dokumentieren! dokumentieren! dokumentieren!
Zitat von @POlOwmen:
Hallo zusammen,
genau. Es geht eher um Portale, wo wir keine AD Anbindung haben.
Zitat von @em-pie:
Moin,
Das ist die entscheidende Frage.
Es könnten auch Zugänge zu Portalen der Lieferanten/ Kunden/ Zoll etc. sein..
Gruß
em-pie
Moin,
Das ist die entscheidende Frage.
Es könnten auch Zugänge zu Portalen der Lieferanten/ Kunden/ Zoll etc. sein..
Gruß
em-pie
Hallo zusammen,
genau. Es geht eher um Portale, wo wir keine AD Anbindung haben.
Ich glaube, hier müsste man mehr ins Detail gehen. Was für Portale? Wie viele? Wer meldet Was, Wo an? Und und und...
Also es gibt interne Systeme die über das AD verwaltet werden - heißt User deaktiviert oder gelöscht = User verschwindet aus den Systemen
Dann haben wir externe Seiten/Portale welche auch über AD verwaltet werden = selbes Verhalten wie oben
Jetzt zu den Problemen:
externe Seiten/Portale welche NICHT über AD verwaltet werden, weil keine Anbindung nicht möglich ist = User bleiben aktiv
Und ich wollte euch fragen, wie ihr das handhabt?
Dokumentieren, ja okay - aber wie und wo? Benutzt ihr dafür ein System?
Kriegt man sowas irgendwie automatisiert?
Dann haben wir externe Seiten/Portale welche auch über AD verwaltet werden = selbes Verhalten wie oben
Jetzt zu den Problemen:
externe Seiten/Portale welche NICHT über AD verwaltet werden, weil keine Anbindung nicht möglich ist = User bleiben aktiv
Und ich wollte euch fragen, wie ihr das handhabt?
Dokumentieren, ja okay - aber wie und wo? Benutzt ihr dafür ein System?
Kriegt man sowas irgendwie automatisiert?
Zitat von @POlOwmen:
Und ich wollte euch fragen, wie ihr das handhabt?
Dokumentieren, ja okay - aber wie und wo? Benutzt ihr dafür ein System?
Da gibt es mehrere Möglichkeiten. Das Problem ist, dass man ein Werkzeug braucht, dass alle annehmen und nicht ablehnen.Und ich wollte euch fragen, wie ihr das handhabt?
Dokumentieren, ja okay - aber wie und wo? Benutzt ihr dafür ein System?
Kriegt man sowas irgendwie automatisiert?
Durch aus. Mittels BPM kann man Business-Prozesse modellieren, die auch durch die Systeme stringent durchlaufen werden.Stell Dir vor, ein Mitarbeiter wird entlassen und das BPM-System kontaktiert Dich mit Einzelanweisungen, was Du jetzt zu tun hast und Du jeden Schritt an das BPM rückmelden musst, bevor der nächste durchgeführt wird.
Das würde die Sache natürlich abrunden und ich weiß nicht, warum mir gerade jetzt die Assoziierung mit den Abläufen in einer McDonald's-Küche in den Sinn kommen...
Diese Systeme sind ein Segen und ein Fluch zugleich.
Nun ja...
@bdmvg
Das Problem ist doch aber, dass es jemanden geben müsste, der weiß, wo sich der ausgeschiedene MA überall mit welchen Daten registriert hat. Solange das nicht vorliegt, hilft kein Prozess der Welt, alle Konten zu deaktivieren/ deren Kennwörter zu ändern.
Was hilft, ist eigentlich eine Doku/ Passwort-Datenbank, auf die die Abteilung (wenigstens der Leiter dieser) Zugriff zu hat.
Das Problem ist doch aber, dass es jemanden geben müsste, der weiß, wo sich der ausgeschiedene MA überall mit welchen Daten registriert hat. Solange das nicht vorliegt, hilft kein Prozess der Welt, alle Konten zu deaktivieren/ deren Kennwörter zu ändern.
Was hilft, ist eigentlich eine Doku/ Passwort-Datenbank, auf die die Abteilung (wenigstens der Leiter dieser) Zugriff zu hat.
