bl0cks1z3
Goto Top

Wie verfahrt Ihr mit den Windows-Benutzerkonten und -dateien von ausgeschiedenen Mitarbeitern?

Hallo,

da ich heute mal wieder ein Benutzerkonto für einen neuen Mitarbeiter angelegt habe - passiert bei uns nich soooo oft - ist mir aufgefallen, dass sich mittlerweile eine ganz schön große Menge von deaktivierten Benutzerkonten ausgeschiedener Mitarbeitern angesammelt hat.
Ich deaktiviere die Benutzerkonten nämlich immer nur, damit ich im Filesystem die Informationen vom Datei-Besitzer und manchmal - wenn nicht gut über Gruppe konfiguriert - in den Sicherheitseinstellungen nicht verliere.

Deshalb meine Frage, wie geht Ihr in einem solchen Fall vor?

Danke

Bl0ckS1z3

Content-ID: 336174

Url: https://administrator.de/forum/wie-verfahrt-ihr-mit-den-windows-benutzerkonten-und-dateien-von-ausgeschiedenen-mitarbeitern-336174.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

SeaStorm
SeaStorm 26.04.2017 um 16:00:45 Uhr
Goto Top
Ich deaktiviere die Konten, verschiebe sie in eine eigene OU und Hinterlege an der Beschreibung den Tag, an dem der User deaktiviert wurde.
Hin und wieder schaue ich dann in die OU und lösche raus, was über ein Jahr deaktiviert ist. Parallel dazu wandern die Order der User in den Müll.
Bl0ckS1z3
Bl0ckS1z3 26.04.2017 um 16:09:27 Uhr
Goto Top
Zitat von @SeaStorm:

Ich deaktiviere die Konten, verschiebe sie in eine eigene OU und Hinterlege an der Beschreibung den Tag, an dem der User deaktiviert wurde.
Hin und wieder schaue ich dann in die OU und lösche raus, was über ein Jahr deaktiviert ist. Parallel dazu wandern die Order der User in den Müll.

Ich finde Dein Vorgehen was die Benutzerkonten betrifft schon mal nicht schlecht.

Bei den Ordnern ist das bei uns nicht so easy. Wir haben Abteilungsordner mit teilweise sehr vielen Unterverzeichnissen. Ist der Benutzer Mitglied der Abteilungsgruppe, kann er nahezu überall dort Dateien angelegt haben.
emeriks
emeriks 26.04.2017 um 16:12:47 Uhr
Goto Top
Hi,
Bei den Ordnern ist das bei uns nicht so easy. Wir haben Abteilungsordner mit teilweise sehr vielen Unterverzeichnissen. Ist der Benutzer Mitglied der Abteilungsgruppe, kann er nahezu überall dort Dateien angelegt haben.
Wo ist da das Problem? Wenn sie dort liegen, dann gehören sie doch der Abteilung und nicht dem Benutzer? Außerdem ist die Abteilung doch für Ihren Bereich selbst zuständig.

E.
SeaStorm
SeaStorm 26.04.2017 um 16:14:29 Uhr
Goto Top
das muss die Abteilung dann entscheiden was da raus muss. Das ist nicht die Aufgabe des Admins.

Ich rede hier vom Profilordner, Roaming Profiles etc. System Dinge. Also am Ende vom Tag das Benutzerprofil inkl. Desktop usw. Wenn da aber in einem Jahr keiner was von wollte, braucht das auch in Zukunft keiner mehr.
Bl0ckS1z3
Bl0ckS1z3 26.04.2017 um 16:20:50 Uhr
Goto Top
Wo ist da das Problem? Wenn sie dort liegen, dann gehören sie doch der Abteilung und nicht dem Benutzer? Außerdem ist die Abteilung doch für Ihren Bereich selbst zuständig.

E.

Eigentlich hast Du schon Recht, aber wenn ein Benutzer eine Datei anlegt, wird er doch als Owner eingetragen. Sollte ich den Benutzer dann löschen bleibt - wenn ich mich richtig erinnere - die SID des gelöschten Owners stehen.
Ich würde die Daten lieber sichten ggf. löschen oder auf einen anderen Benutzer (z.B. Abteilungsleiter oder Nachfolger) übertragen.

Da fällt mir ein, wie sucht man eigentlich nach Dateien eines Benutzers (rekursiv).
itisnapanto
itisnapanto 26.04.2017 um 16:26:00 Uhr
Goto Top
Stichwort Ordnervererbung .

Wer der Beistzer ist , ist doch egal eigentlich.
ArnoNymous
ArnoNymous 26.04.2017 um 16:26:12 Uhr
Goto Top
Moin

Eigentlich hast Du schon Recht, aber wenn ein Benutzer eine Datei anlegt, wird er doch als Owner eingetragen. Sollte ich den Benutzer dann löschen bleibt - wenn ich mich richtig erinnere - die SID des gelöschten Owners stehen.

Das stört doch nicht weiter?
SeaStorm
SeaStorm 26.04.2017 um 16:30:59 Uhr
Goto Top
dann steht da halt eine SID. idR gibt aber der Ordner die Berechtigungen für den Rest vor. weitere Mitglieder der Abteilung können die Datei also ganz normal verwenden.
Sollte der User die Berechtigungen so manipuliert haben, das nur er da drauf kann, muss der Admin das halt entfernen.
emeriks
Lösung emeriks 26.04.2017 um 16:37:29 Uhr
Goto Top
Da fällt mir ein, wie sucht man eigentlich nach Dateien eines Benutzers (rekursiv).
z.B.
dir C:\*.* /s /q | find /i "benutzername"  
clSchak
Lösung clSchak 26.04.2017 um 18:51:32 Uhr
Goto Top
Hi

Exchange Konto in PST exportieren, Benutzer deaktivieren, Exchange Postfach löschen, alle Berechtigungen und Beschreibungen sowie Gruppen entfernen, den Benutzer dann in eine separate OU verschieben und aus der ERP als Benutzer entfernen (ist zwar auch ein M$ Produkt und kann auf's AD zugreifen liest aber nicht den Status des Kontos aus ...). Das war es, mehr nicht, wir löschen keine Benutzer, dann sind alle Verweise aus der ERP, Sharepoint usw. "tot" und haben nur noch die SSID des Objektes da stehen.

Im Anschluss dann das Serverprofil sowie Home Laufwerk entfernen, ggf. die Daten der neuen Person ins Home Verzeichnis kopieren.

Deaktivierte Benutzer kosten nichts face-wink - und wie berechtigen nicht auf Benutzerebene, immer auf Gruppenebene

Gruß
@clSchak
jsysde
Lösung jsysde 26.04.2017 um 20:51:03 Uhr
Goto Top
N'Abend.

Wir haben zwei Arten von User-Accounts: Mit und ohne Ablaufdatum.
Die mit Ablaufdatum (Freelancer mit Zeitverträgen) werden per Skript rausgefischt, deaktiviert und in eine separate OU verschoben.
Die ohne Ablaufdatum ("interne" Kollegen) bekommen von uns ein Ablaufdatum verpasst, wenn sie kündigen/ausscheiden und damit der letzte Arbeitstag feststeht. Danach greift wieder das Skript und deaktiviert/verschiebt die Accounts.

Danach werden die Homedrives archiviert und mit 7Zip eingedampft; die liegen auf nem NAS und bleiben da auch. Dito für Scandrives (unsere MuFus scannen per SMB auf Fileshares). Das ist leider (noch) ein händischer Prozess und entsprechend zeitaufwendig.

Sofern gefordert, bekommen Kollegen Zugriff auf die Postfächer für den Zeitraum X, danach werden die Postfächer als PST exportiert und gelöscht. Die PSTs werden analog zu den Homedrives mit 7Zip eingedampft und verbleiben auf dem NAS.

Sobald all das passiert ist, werden die User-Accounts gelöscht (per Skript mit Log; zusätzlich gibt's ein Skript "Daily Changes", dass alle AD-Änderungen loggt und wegschreibt).

Über verbleibende SIDs auf Fileservern mach' ich mir keinen Kopf, die sollte es bei uns eigentlich auch gar nicht geben => Berechtigungen werden nur auf Gruppenebene vergeben. SharePoint ist ne andere Sache, da sind andere Kollegen dran, das mit Skripten zu bereinigen.

Cheers,
jsysde
XPFanUwe
Lösung XPFanUwe 26.04.2017 um 22:27:08 Uhr
Goto Top
Es bleibt wie es ist, nur deaktivieren. Dann gibt es keine Überraschung in der Struktur, Rechte usw. Außerdem kann es sein, es muss in 10 Jahren mal was nachgesehen werden. Das ist dann so einfacher.
honeybee
Lösung honeybee 26.04.2017 aktualisiert um 22:52:05 Uhr
Goto Top
Bei "wichtigen" MA werden die Benutzerkonten deaktiviert, bei "unwichtigen" gelöscht. Die deaktivierten Benutzerkonten werden dann nach einem Jahr Inaktivität endgültig gelöscht.

Was Berechtigungen auf dem Fileserver betrifft, habe ich so gelöst: Ich arbeite immer mit Gruppen. So lassen sich die Benutzer besser verwalten und man kann deaktivierte Benutzer herausfiltern.
Bl0ckS1z3
Bl0ckS1z3 27.04.2017 um 08:29:48 Uhr
Goto Top
Danke an Euch für die vielen guten Ideen. Wie ich mir schon gedacht habe, gibt es verschiedene Ansätze.
Je nach größe des AD und der Wichtigkeit der Dokumente und der Aufgaben der Mitarbeiter.

Ich denke ich werde weiterhin die Benutzer nur deaktivieren und wie die Meisten von Euch nun in eine separate OU verschieben. Da hätte ich auch selbst drauf kommen können, aber manchmal aber nur manchmal sieht man den Wald vor Bäumen nicht face-wink.

Vielen Dank!

Weitere Vorschläge sind natürlich willkommen!