回答:
いったん辞めれば、通常は戻ってきません。古いアカウントに固執する理由はありません。これが私たちのすることです:
ファイル:
メール:
アカウントを無効にします。彼らの「説明」は、出発の日付を示すために更新され、AD階層で、彼らがどの出発状態にあるかに応じてフォルダに移動します(gone + emailはどこかに転送、gone + pre-archive、archived)。
大量の複雑なファイルとフォルダー階層があります。Active Directoryからアカウントを削除すると、ユーザーごとの明示的なACLを持つファイル/フォルダーには、そのACLデータがSIDとして表示されます。また、アカウントが削除されたため、以前のアカウントをSIDから把握する方法を見つけていません。
このように、人々が奇妙な振る舞いをする所有権/許可の問題を見ているとき、私たちはもはや存在しない人々の所有権と許可を見ることができます(そして削除します)。
更新、ずっと後:私は、Microsoftから監査を受けている同僚から、ADのアカウントには「座席ごとの」ライセンスが必要であることを知りました(そのようにスイングする場合)。その人はまだ存在していません。そのため、削除について議論する必要があります!
私のハイヤーエドの場所では、無効にして2週間保持するポリシーがあります。
ユーザーディレクトリデータへのアクセスを要求するマネージャーには、直接アクセスではなくCDが与えられます。過去にあまりにも頻繁に、マネージャーはユーザーディレクトリをさらに別のファイルストアとして使用するだけだと言いました。
メールへのアクセスをリクエストするマネージャーには、直接アクセスではなく、メールボックスのPSTエクスポートが与えられます。
部門の20年のベテランが特定の重要な機能の唯一の連絡先であると言ったマネージャーは、重要なメールがバウンスされないように名前を維持する必要があります。無効になっているメールボックスに不在通知ルールを設定して、その人が退室したことを伝えようとします。代わりに、人Bに連絡してください。次に、そのアカウントのハード削除日を適切に遠い将来に設定して、Aがもうここにいないことを世界が知っていることを確認します。できる限り、そのメールアドレスを別のメールボックスに配置しません。常に成功するとは限りません。
その20年のベテランは、ある地域の主要な秘書サポートであり、したがって、管理が必要なカレンダーを持っているほとんどすべての人の代理人でした。そのようなアカウントが無効になるとすぐに、管理されたカレンダーにアポイントメントを送信する誰もが異常なバウンスメッセージを受け取ります。アカウントを一時的に再度有効にすると、デスクトップスタッフがすべてのメールボックスからデリゲートを通過して手動で削除する間、バウンスメッセージが停止します。デスクトップスタッフが上記のカレンダーの所有者と交渉して必要な設定を行うには、数日かかる場合があります。その後、アカウントは再び無効になり、通常の2週間の削除の対象となります。これはExchangeの「機能」の1つであり、私は特に好きではありません。
私は、従業員または請負業者が退職した直後にADアカウントを削除するのは好きではありません。少なくとも30日間無効にし、無効にしたアカウントを1年に1〜2回削除するのが最善であることがわかりました。
アカウントをすぐに削除したくない理由はいくつかあります。
1-フォレンジック。組織が従業員または請負業者に対して訴訟を起こす必要がある場合は、元のアカウント(SID)が必要になります。
2-自動化されたタスク-ユーザー、特にITワーカーは、ジョブの実行、レポートの自動化、サービスのリサイクルなどを行うために自動化タスクを設定する傾向があります。 IDに関連付けられたジョブまたはタスク。SIDは同じではないため、同じ名前のアカウントを単純に再作成することはできません。それは、アカウントの表示名ではなく、自動化されたタスクが見るものです。
最初に無効にすると、ジョブを正規のサービスアカウントに移行するまで、アカウントを再度有効にし、パスワードを変更または回復し、ビジネスに戻ることができます。
私たちには非常に厳しい監査要件があり、ユーザーがいつ無効にされたかを証明するようにしばしば求められます。これに対処するために、アカウントが去ったと言われたときにアカウントを無効にする傾向があります。無効になったアカウントを自分のOUに移動し、説明を残りの日付で更新します(長期間消えるユーザーを無効にし、戻ってきたときに再度有効にすることもできます)。
彼らが6ヶ月間行ったら、それらを削除します。
それらが3か月以上消えた場合、アカウントを削除します。すべてのシステムでは、マイドキュメント/デスクトップなどのデスクトップおよびフォルダーリダイレクトがGPOによって強制されているため、削除した後、ファイルサーバー上のアーカイブボリュームにアーカイブします。
私はすべてにA / Dのロールベースのセキュリティグループを使用することを心がけているので、ファイルシステムまたは暗黙的に適用された他の何かへのアクセス権を持つユーザーはいないので、ユーザーを削除することはありません。これを設定するには、少し考えて頭を悩ます必要がありますが、Windowsネットワークでのアクセス許可の管理が簡単になるため、実際にお勧めします。
交換については、ExMergeを使用してメールボックスをエクスポートし、アーカイブフォルダーに.pstを配置し、残った人の役割に応じてメッセージの転送またはバウンスを設定します。
コンピュータアカウントの削除には非常に大きな問題があります。それは法律です。
EU データ保護指令では、一部の加盟国(特にポーランド)は、同じユーザーIDを他の誰にも決して割り当てず、同時に、誰がいつアクセスを許可され、いつアクセスが取り消されたかのログを保持することを要求しています。
つまり、個人データを扱う場合は、弁護士/法務チームに問い合わせる方がよいでしょう。
私は2人のコンサルティングクライアントがいて、そのうちの1人はフルタイムの従業員でした。私の従業員番号とすべてが同じであり、彼らがADアカウントを削除することは決してないと確信しています。
私が見る唯一の問題は、SIDに関連付けられているすべてのグループメンバーシップとアクセス(ADグループメンバーシップのみ、私は思う)がまだ残っていることです。重要なステップです。
次に、削除して再作成するか無効にするか有効にするかに関係なく、samaccountnameが同じままであれば、そのユーザーアカウントを参照する他のすべてのシステムをスクラブする必要があります。
私は、フォーチュン500エネルギーユーティリティのリモートサポート(高架ヘルプデスク)技術者として働いています。私たちのビジネスの性質上、上記の20年のベテランに出入りする請負業者から、あらゆる種類のシナリオがあります。私が見てきたことから、私たちの方針は断ち切られ、乾燥しています。
すべてのアカウントには、説明フィールドに最後のチケット番号と日付と変更の種類があります。例えばChange Order 123456 Created on 00/00/00 by the access manager
Terminated on 00/00/00またはRe-enabled on 00/00/00 by Manager's Name
矛盾が通知されるとすぐに、ヘルプデスクはアカウントを無効にします。確認後、または設定された時間後に自動的にユーザーが無効なアカウントOUに移動し、3つのチルダと終了日(~~~00/00/00)を表示名に追加して、ITユーザーとエンドユーザーの両方が一目ですぐに識別できるようにします。
データがどうなるかについての情報を提供することはできません。私はその部門で働いていません。しかし、についてはアカウントが完全になくなったことを知っています。
これらのデータと保持の概念は、不満を抱いている従業員から組織を保護しながら、組織のITポリシーの一部である必要があります。ただし、各ステップ間の時間は会社によって異なります。
特にメッセージングの問題をトラブルシューティングするときに、デスクトップで本当に役立ちます。
お役に立てれば
定期的に撤退し、1週間から6か月後にどこかに戻る人々がいます。アカウントを無効にすると、今の性質を思い出せない問題が発生しました...おそらく電子メールに関連しているのでしょうか?他の警告?代わりに手順を変更して、パスワードを意味不明なものにリセットし、状況を詳しく説明するメモを説明フィールドに配置して、ユーザー情報を編集している他の人が参照できるようにします。
アカウントは、卒業したことになったとしても、最終的にロールアウトされます。
アカウントをその場で削除します...それはポリシーの問題だと思いますが、保留することには、間違いや状況の変化があった場合に「安全にプレイする」という利点もあります。または、単にデータを削除するだけでなく、特定のファイルや情報、メールなどに突然アクセスする必要がありますが、古い情報などを復元するポリシーがある場合は、他の手段で処理できます。私たちにとっては、アカウントの一部をもう必要としないことが決着するまでしばらくの間簡単に保つことが簡単で、後で労力と頭痛が軽減されます。