14
Wie verfahrt Ihr mit den Windows-Benutzerkonten und -dateien von ausgeschiedenen Mitarbeitern?
Hallo,
da ich heute mal wieder ein Benutzerkonto für einen neuen Mitarbeiter angelegt habe - passiert bei uns nich soooo oft - ist mir aufgefallen, dass sich mittlerweile eine ganz schön große Menge von deaktivierten Benutzerkonten ausgeschiedener Mitarbeitern angesammelt hat.
Ich deaktiviere die Benutzerkonten nämlich immer nur, damit ich im Filesystem die Informationen vom Datei-Besitzer und manchmal - wenn nicht gut über Gruppe konfiguriert - in den Sicherheitseinstellungen nicht verliere.
Deshalb meine Frage, wie geht Ihr in einem solchen Fall vor?
Danke
Bl0ckS1z3
da ich heute mal wieder ein Benutzerkonto für einen neuen Mitarbeiter angelegt habe - passiert bei uns nich soooo oft - ist mir aufgefallen, dass sich mittlerweile eine ganz schön große Menge von deaktivierten Benutzerkonten ausgeschiedener Mitarbeitern angesammelt hat.
Ich deaktiviere die Benutzerkonten nämlich immer nur, damit ich im Filesystem die Informationen vom Datei-Besitzer und manchmal - wenn nicht gut über Gruppe konfiguriert - in den Sicherheitseinstellungen nicht verliere.
Deshalb meine Frage, wie geht Ihr in einem solchen Fall vor?
Danke
Bl0ckS1z3
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 336174
Url: https://administrator.de/contentid/336174
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
14 Kommentare
Neuester Kommentar
Ich deaktiviere die Konten, verschiebe sie in eine eigene OU und Hinterlege an der Beschreibung den Tag, an dem der User deaktiviert wurde.
Hin und wieder schaue ich dann in die OU und lösche raus, was über ein Jahr deaktiviert ist. Parallel dazu wandern die Order der User in den Müll.
Hin und wieder schaue ich dann in die OU und lösche raus, was über ein Jahr deaktiviert ist. Parallel dazu wandern die Order der User in den Müll.
Zitat von @SeaStorm:
Ich deaktiviere die Konten, verschiebe sie in eine eigene OU und Hinterlege an der Beschreibung den Tag, an dem der User deaktiviert wurde.
Hin und wieder schaue ich dann in die OU und lösche raus, was über ein Jahr deaktiviert ist. Parallel dazu wandern die Order der User in den Müll.
Ich deaktiviere die Konten, verschiebe sie in eine eigene OU und Hinterlege an der Beschreibung den Tag, an dem der User deaktiviert wurde.
Hin und wieder schaue ich dann in die OU und lösche raus, was über ein Jahr deaktiviert ist. Parallel dazu wandern die Order der User in den Müll.
Ich finde Dein Vorgehen was die Benutzerkonten betrifft schon mal nicht schlecht.
Bei den Ordnern ist das bei uns nicht so easy. Wir haben Abteilungsordner mit teilweise sehr vielen Unterverzeichnissen. Ist der Benutzer Mitglied der Abteilungsgruppe, kann er nahezu überall dort Dateien angelegt haben.
Hi,
E.
Bei den Ordnern ist das bei uns nicht so easy. Wir haben Abteilungsordner mit teilweise sehr vielen Unterverzeichnissen. Ist der Benutzer Mitglied der Abteilungsgruppe, kann er nahezu überall dort Dateien angelegt haben.
Wo ist da das Problem? Wenn sie dort liegen, dann gehören sie doch der Abteilung und nicht dem Benutzer? Außerdem ist die Abteilung doch für Ihren Bereich selbst zuständig.E.
das muss die Abteilung dann entscheiden was da raus muss. Das ist nicht die Aufgabe des Admins.
Ich rede hier vom Profilordner, Roaming Profiles etc. System Dinge. Also am Ende vom Tag das Benutzerprofil inkl. Desktop usw. Wenn da aber in einem Jahr keiner was von wollte, braucht das auch in Zukunft keiner mehr.
Ich rede hier vom Profilordner, Roaming Profiles etc. System Dinge. Also am Ende vom Tag das Benutzerprofil inkl. Desktop usw. Wenn da aber in einem Jahr keiner was von wollte, braucht das auch in Zukunft keiner mehr.
Wo ist da das Problem? Wenn sie dort liegen, dann gehören sie doch der Abteilung und nicht dem Benutzer? Außerdem ist die Abteilung doch für Ihren Bereich selbst zuständig.
E.
E.
Eigentlich hast Du schon Recht, aber wenn ein Benutzer eine Datei anlegt, wird er doch als Owner eingetragen. Sollte ich den Benutzer dann löschen bleibt - wenn ich mich richtig erinnere - die SID des gelöschten Owners stehen.
Ich würde die Daten lieber sichten ggf. löschen oder auf einen anderen Benutzer (z.B. Abteilungsleiter oder Nachfolger) übertragen.
Da fällt mir ein, wie sucht man eigentlich nach Dateien eines Benutzers (rekursiv).
Stichwort Ordnervererbung .
Wer der Beistzer ist , ist doch egal eigentlich.
Wer der Beistzer ist , ist doch egal eigentlich.
Moin
Eigentlich hast Du schon Recht, aber wenn ein Benutzer eine Datei anlegt, wird er doch als Owner eingetragen. Sollte ich den Benutzer dann löschen bleibt - wenn ich mich richtig erinnere - die SID des gelöschten Owners stehen.
Das stört doch nicht weiter?
Eigentlich hast Du schon Recht, aber wenn ein Benutzer eine Datei anlegt, wird er doch als Owner eingetragen. Sollte ich den Benutzer dann löschen bleibt - wenn ich mich richtig erinnere - die SID des gelöschten Owners stehen.
Das stört doch nicht weiter?
dann steht da halt eine SID. idR gibt aber der Ordner die Berechtigungen für den Rest vor. weitere Mitglieder der Abteilung können die Datei also ganz normal verwenden.
Sollte der User die Berechtigungen so manipuliert haben, das nur er da drauf kann, muss der Admin das halt entfernen.
Sollte der User die Berechtigungen so manipuliert haben, das nur er da drauf kann, muss der Admin das halt entfernen.
Da fällt mir ein, wie sucht man eigentlich nach Dateien eines Benutzers (rekursiv).
z.B.dir C:\*.* /s /q | find /i "benutzername" 
Hi
Exchange Konto in PST exportieren, Benutzer deaktivieren, Exchange Postfach löschen, alle Berechtigungen und Beschreibungen sowie Gruppen entfernen, den Benutzer dann in eine separate OU verschieben und aus der ERP als Benutzer entfernen (ist zwar auch ein M$ Produkt und kann auf's AD zugreifen liest aber nicht den Status des Kontos aus ...). Das war es, mehr nicht, wir löschen keine Benutzer, dann sind alle Verweise aus der ERP, Sharepoint usw. "tot" und haben nur noch die SSID des Objektes da stehen.
Im Anschluss dann das Serverprofil sowie Home Laufwerk entfernen, ggf. die Daten der neuen Person ins Home Verzeichnis kopieren.
Deaktivierte Benutzer kosten nichts
- und wie berechtigen nicht auf Benutzerebene, immer auf Gruppenebene
Gruß
@clSchak
Exchange Konto in PST exportieren, Benutzer deaktivieren, Exchange Postfach löschen, alle Berechtigungen und Beschreibungen sowie Gruppen entfernen, den Benutzer dann in eine separate OU verschieben und aus der ERP als Benutzer entfernen (ist zwar auch ein M$ Produkt und kann auf's AD zugreifen liest aber nicht den Status des Kontos aus ...). Das war es, mehr nicht, wir löschen keine Benutzer, dann sind alle Verweise aus der ERP, Sharepoint usw. "tot" und haben nur noch die SSID des Objektes da stehen.
Im Anschluss dann das Serverprofil sowie Home Laufwerk entfernen, ggf. die Daten der neuen Person ins Home Verzeichnis kopieren.
Deaktivierte Benutzer kosten nichts
- und wie berechtigen nicht auf Benutzerebene, immer auf GruppenebeneGruß
@clSchak
N'Abend.
Wir haben zwei Arten von User-Accounts: Mit und ohne Ablaufdatum.
Die mit Ablaufdatum (Freelancer mit Zeitverträgen) werden per Skript rausgefischt, deaktiviert und in eine separate OU verschoben.
Die ohne Ablaufdatum ("interne" Kollegen) bekommen von uns ein Ablaufdatum verpasst, wenn sie kündigen/ausscheiden und damit der letzte Arbeitstag feststeht. Danach greift wieder das Skript und deaktiviert/verschiebt die Accounts.
Danach werden die Homedrives archiviert und mit 7Zip eingedampft; die liegen auf nem NAS und bleiben da auch. Dito für Scandrives (unsere MuFus scannen per SMB auf Fileshares). Das ist leider (noch) ein händischer Prozess und entsprechend zeitaufwendig.
Sofern gefordert, bekommen Kollegen Zugriff auf die Postfächer für den Zeitraum X, danach werden die Postfächer als PST exportiert und gelöscht. Die PSTs werden analog zu den Homedrives mit 7Zip eingedampft und verbleiben auf dem NAS.
Sobald all das passiert ist, werden die User-Accounts gelöscht (per Skript mit Log; zusätzlich gibt's ein Skript "Daily Changes", dass alle AD-Änderungen loggt und wegschreibt).
Über verbleibende SIDs auf Fileservern mach' ich mir keinen Kopf, die sollte es bei uns eigentlich auch gar nicht geben => Berechtigungen werden nur auf Gruppenebene vergeben. SharePoint ist ne andere Sache, da sind andere Kollegen dran, das mit Skripten zu bereinigen.
Cheers,
jsysde
Wir haben zwei Arten von User-Accounts: Mit und ohne Ablaufdatum.
Die mit Ablaufdatum (Freelancer mit Zeitverträgen) werden per Skript rausgefischt, deaktiviert und in eine separate OU verschoben.
Die ohne Ablaufdatum ("interne" Kollegen) bekommen von uns ein Ablaufdatum verpasst, wenn sie kündigen/ausscheiden und damit der letzte Arbeitstag feststeht. Danach greift wieder das Skript und deaktiviert/verschiebt die Accounts.
Danach werden die Homedrives archiviert und mit 7Zip eingedampft; die liegen auf nem NAS und bleiben da auch. Dito für Scandrives (unsere MuFus scannen per SMB auf Fileshares). Das ist leider (noch) ein händischer Prozess und entsprechend zeitaufwendig.
Sofern gefordert, bekommen Kollegen Zugriff auf die Postfächer für den Zeitraum X, danach werden die Postfächer als PST exportiert und gelöscht. Die PSTs werden analog zu den Homedrives mit 7Zip eingedampft und verbleiben auf dem NAS.
Sobald all das passiert ist, werden die User-Accounts gelöscht (per Skript mit Log; zusätzlich gibt's ein Skript "Daily Changes", dass alle AD-Änderungen loggt und wegschreibt).
Über verbleibende SIDs auf Fileservern mach' ich mir keinen Kopf, die sollte es bei uns eigentlich auch gar nicht geben => Berechtigungen werden nur auf Gruppenebene vergeben. SharePoint ist ne andere Sache, da sind andere Kollegen dran, das mit Skripten zu bereinigen.
Cheers,
jsysde
Es bleibt wie es ist, nur deaktivieren. Dann gibt es keine Überraschung in der Struktur, Rechte usw. Außerdem kann es sein, es muss in 10 Jahren mal was nachgesehen werden. Das ist dann so einfacher.
Bei "wichtigen" MA werden die Benutzerkonten deaktiviert, bei "unwichtigen" gelöscht. Die deaktivierten Benutzerkonten werden dann nach einem Jahr Inaktivität endgültig gelöscht.
Was Berechtigungen auf dem Fileserver betrifft, habe ich so gelöst: Ich arbeite immer mit Gruppen. So lassen sich die Benutzer besser verwalten und man kann deaktivierte Benutzer herausfiltern.
Was Berechtigungen auf dem Fileserver betrifft, habe ich so gelöst: Ich arbeite immer mit Gruppen. So lassen sich die Benutzer besser verwalten und man kann deaktivierte Benutzer herausfiltern.
Danke an Euch für die vielen guten Ideen. Wie ich mir schon gedacht habe, gibt es verschiedene Ansätze.
Je nach größe des AD und der Wichtigkeit der Dokumente und der Aufgaben der Mitarbeiter.
Ich denke ich werde weiterhin die Benutzer nur deaktivieren und wie die Meisten von Euch nun in eine separate OU verschieben. Da hätte ich auch selbst drauf kommen können, aber manchmal aber nur manchmal sieht man den Wald vor Bäumen nicht.
Vielen Dank!
Weitere Vorschläge sind natürlich willkommen!
Je nach größe des AD und der Wichtigkeit der Dokumente und der Aufgaben der Mitarbeiter.
Ich denke ich werde weiterhin die Benutzer nur deaktivieren und wie die Meisten von Euch nun in eine separate OU verschieben. Da hätte ich auch selbst drauf kommen können, aber manchmal aber nur manchmal sieht man den Wald vor Bäumen nicht
.Vielen Dank!
Weitere Vorschläge sind natürlich willkommen!
