Wie verfahrt Ihr mit den Windows-Benutzerkonten und -dateien von ausgeschiedenen Mitarbeitern?
Hallo,
da ich heute mal wieder ein Benutzerkonto für einen neuen Mitarbeiter angelegt habe - passiert bei uns nich soooo oft - ist mir aufgefallen, dass sich mittlerweile eine ganz schön große Menge von deaktivierten Benutzerkonten ausgeschiedener Mitarbeitern angesammelt hat.
Ich deaktiviere die Benutzerkonten nämlich immer nur, damit ich im Filesystem die Informationen vom Datei-Besitzer und manchmal - wenn nicht gut über Gruppe konfiguriert - in den Sicherheitseinstellungen nicht verliere.
Deshalb meine Frage, wie geht Ihr in einem solchen Fall vor?
Danke
Bl0ckS1z3
da ich heute mal wieder ein Benutzerkonto für einen neuen Mitarbeiter angelegt habe - passiert bei uns nich soooo oft - ist mir aufgefallen, dass sich mittlerweile eine ganz schön große Menge von deaktivierten Benutzerkonten ausgeschiedener Mitarbeitern angesammelt hat.
Ich deaktiviere die Benutzerkonten nämlich immer nur, damit ich im Filesystem die Informationen vom Datei-Besitzer und manchmal - wenn nicht gut über Gruppe konfiguriert - in den Sicherheitseinstellungen nicht verliere.
Deshalb meine Frage, wie geht Ihr in einem solchen Fall vor?
Danke
Bl0ckS1z3
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 336174
Url: https://administrator.de/forum/wie-verfahrt-ihr-mit-den-windows-benutzerkonten-und-dateien-von-ausgeschiedenen-mitarbeitern-336174.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
14 Kommentare
Neuester Kommentar
Hi,
E.
Bei den Ordnern ist das bei uns nicht so easy. Wir haben Abteilungsordner mit teilweise sehr vielen Unterverzeichnissen. Ist der Benutzer Mitglied der Abteilungsgruppe, kann er nahezu überall dort Dateien angelegt haben.
Wo ist da das Problem? Wenn sie dort liegen, dann gehören sie doch der Abteilung und nicht dem Benutzer? Außerdem ist die Abteilung doch für Ihren Bereich selbst zuständig.E.
das muss die Abteilung dann entscheiden was da raus muss. Das ist nicht die Aufgabe des Admins.
Ich rede hier vom Profilordner, Roaming Profiles etc. System Dinge. Also am Ende vom Tag das Benutzerprofil inkl. Desktop usw. Wenn da aber in einem Jahr keiner was von wollte, braucht das auch in Zukunft keiner mehr.
Ich rede hier vom Profilordner, Roaming Profiles etc. System Dinge. Also am Ende vom Tag das Benutzerprofil inkl. Desktop usw. Wenn da aber in einem Jahr keiner was von wollte, braucht das auch in Zukunft keiner mehr.
Hi
Exchange Konto in PST exportieren, Benutzer deaktivieren, Exchange Postfach löschen, alle Berechtigungen und Beschreibungen sowie Gruppen entfernen, den Benutzer dann in eine separate OU verschieben und aus der ERP als Benutzer entfernen (ist zwar auch ein M$ Produkt und kann auf's AD zugreifen liest aber nicht den Status des Kontos aus ...). Das war es, mehr nicht, wir löschen keine Benutzer, dann sind alle Verweise aus der ERP, Sharepoint usw. "tot" und haben nur noch die SSID des Objektes da stehen.
Im Anschluss dann das Serverprofil sowie Home Laufwerk entfernen, ggf. die Daten der neuen Person ins Home Verzeichnis kopieren.
Deaktivierte Benutzer kosten nichts - und wie berechtigen nicht auf Benutzerebene, immer auf Gruppenebene
Gruß
@clSchak
Exchange Konto in PST exportieren, Benutzer deaktivieren, Exchange Postfach löschen, alle Berechtigungen und Beschreibungen sowie Gruppen entfernen, den Benutzer dann in eine separate OU verschieben und aus der ERP als Benutzer entfernen (ist zwar auch ein M$ Produkt und kann auf's AD zugreifen liest aber nicht den Status des Kontos aus ...). Das war es, mehr nicht, wir löschen keine Benutzer, dann sind alle Verweise aus der ERP, Sharepoint usw. "tot" und haben nur noch die SSID des Objektes da stehen.
Im Anschluss dann das Serverprofil sowie Home Laufwerk entfernen, ggf. die Daten der neuen Person ins Home Verzeichnis kopieren.
Deaktivierte Benutzer kosten nichts - und wie berechtigen nicht auf Benutzerebene, immer auf Gruppenebene
Gruß
@clSchak
N'Abend.
Wir haben zwei Arten von User-Accounts: Mit und ohne Ablaufdatum.
Die mit Ablaufdatum (Freelancer mit Zeitverträgen) werden per Skript rausgefischt, deaktiviert und in eine separate OU verschoben.
Die ohne Ablaufdatum ("interne" Kollegen) bekommen von uns ein Ablaufdatum verpasst, wenn sie kündigen/ausscheiden und damit der letzte Arbeitstag feststeht. Danach greift wieder das Skript und deaktiviert/verschiebt die Accounts.
Danach werden die Homedrives archiviert und mit 7Zip eingedampft; die liegen auf nem NAS und bleiben da auch. Dito für Scandrives (unsere MuFus scannen per SMB auf Fileshares). Das ist leider (noch) ein händischer Prozess und entsprechend zeitaufwendig.
Sofern gefordert, bekommen Kollegen Zugriff auf die Postfächer für den Zeitraum X, danach werden die Postfächer als PST exportiert und gelöscht. Die PSTs werden analog zu den Homedrives mit 7Zip eingedampft und verbleiben auf dem NAS.
Sobald all das passiert ist, werden die User-Accounts gelöscht (per Skript mit Log; zusätzlich gibt's ein Skript "Daily Changes", dass alle AD-Änderungen loggt und wegschreibt).
Über verbleibende SIDs auf Fileservern mach' ich mir keinen Kopf, die sollte es bei uns eigentlich auch gar nicht geben => Berechtigungen werden nur auf Gruppenebene vergeben. SharePoint ist ne andere Sache, da sind andere Kollegen dran, das mit Skripten zu bereinigen.
Cheers,
jsysde
Wir haben zwei Arten von User-Accounts: Mit und ohne Ablaufdatum.
Die mit Ablaufdatum (Freelancer mit Zeitverträgen) werden per Skript rausgefischt, deaktiviert und in eine separate OU verschoben.
Die ohne Ablaufdatum ("interne" Kollegen) bekommen von uns ein Ablaufdatum verpasst, wenn sie kündigen/ausscheiden und damit der letzte Arbeitstag feststeht. Danach greift wieder das Skript und deaktiviert/verschiebt die Accounts.
Danach werden die Homedrives archiviert und mit 7Zip eingedampft; die liegen auf nem NAS und bleiben da auch. Dito für Scandrives (unsere MuFus scannen per SMB auf Fileshares). Das ist leider (noch) ein händischer Prozess und entsprechend zeitaufwendig.
Sofern gefordert, bekommen Kollegen Zugriff auf die Postfächer für den Zeitraum X, danach werden die Postfächer als PST exportiert und gelöscht. Die PSTs werden analog zu den Homedrives mit 7Zip eingedampft und verbleiben auf dem NAS.
Sobald all das passiert ist, werden die User-Accounts gelöscht (per Skript mit Log; zusätzlich gibt's ein Skript "Daily Changes", dass alle AD-Änderungen loggt und wegschreibt).
Über verbleibende SIDs auf Fileservern mach' ich mir keinen Kopf, die sollte es bei uns eigentlich auch gar nicht geben => Berechtigungen werden nur auf Gruppenebene vergeben. SharePoint ist ne andere Sache, da sind andere Kollegen dran, das mit Skripten zu bereinigen.
Cheers,
jsysde
Bei "wichtigen" MA werden die Benutzerkonten deaktiviert, bei "unwichtigen" gelöscht. Die deaktivierten Benutzerkonten werden dann nach einem Jahr Inaktivität endgültig gelöscht.
Was Berechtigungen auf dem Fileserver betrifft, habe ich so gelöst: Ich arbeite immer mit Gruppen. So lassen sich die Benutzer besser verwalten und man kann deaktivierte Benutzer herausfiltern.
Was Berechtigungen auf dem Fileserver betrifft, habe ich so gelöst: Ich arbeite immer mit Gruppen. So lassen sich die Benutzer besser verwalten und man kann deaktivierte Benutzer herausfiltern.