Pylon 10 Geschrieben 12. Oktober 2009 Melden Teilen Geschrieben 12. Oktober 2009 Hallo zusammen, ich habe einmal gehört, dass es für Computer- und Benutzerobjekte im AD sinnvoller ist, bzw. empfohlen wird, diese zu deaktivieren, anstellen sie zu löschen. Mal abgesehen von der Tatsache, dass dies Sinn macht, wenn die Möglichkeit besteht, dass ein Exmitarbeiter in absehbarer Zeit wieder dem Unternehmen zugehörig ist, gibt es noch andere sicherheitsrelevante Gründe so zu verfahren? Gruß Pylon Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 12. Oktober 2009 Melden Teilen Geschrieben 12. Oktober 2009 Nein. Wenn das Konto nirgends mehr gebraucht wird und auch nirgends direkt mehr berechtigt ist, kannst du das genauso gut auch löschen. Deaktivieren sollte man einfach als eine "Schwelle" sehen, über die man dann stolpert, ohne jedoch auf die "Fresse" zu fallen. ;) Bye Norbert Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 12. Oktober 2009 Melden Teilen Geschrieben 12. Oktober 2009 Wobei das auf der anderen Seite auch von deinen Revisionspflichten abhängt. Ich kenne aus dem Consultinggeschäft genügend Unternehmen, die aus Revisionsgründen AD-Konten nicht löschen dürfen, dort werden diese lediglich deaktiviert und in separate OU's verschoben. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 12. Oktober 2009 Melden Teilen Geschrieben 12. Oktober 2009 Das wäre aber kein technischer Grund. ;) Wobei mir unklar ist, warum in der Revision AD-Konten für irgendwas wirklich relevant sind. Bye Norbert Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 12. Oktober 2009 Melden Teilen Geschrieben 12. Oktober 2009 Wenn du ERP mit Navision fährst zum Beispiel. Mein letzter Kunde hatte hier die Kopplung zwischen AD und NAV, die via User-SID passiert. Und dafür durften die Konten nicht gelöscht werden, weil dann Revisionsbestandteile im NAV "beschädigt" werden würden. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 12. Oktober 2009 Melden Teilen Geschrieben 12. Oktober 2009 OK, dann verweise ich auf meine erste Aussagen: "Wenn das Konto nirgends mehr gebraucht wird und auch nirgends direkt mehr berechtigt ist" ;) Bye Norbert Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 12. Oktober 2009 Melden Teilen Geschrieben 12. Oktober 2009 Soweit richtig. Nur wollte ich das Thema trotzdem nochmal ansprechen, habe auch schon Admins erlebt, die auf diese Frage meinten, das die Konten nicht mehr benötigt werden, wir haben gelöscht und am nächsten Morgen stand ERP und / oder FiBu still. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 12. Oktober 2009 Melden Teilen Geschrieben 12. Oktober 2009 Dann haben sie die Frage die du gestellt hast wohl falsch beantwortet. :) Bye Norbert Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 12. Oktober 2009 Melden Teilen Geschrieben 12. Oktober 2009 Ja, haben sie... :D Aber egal. Fazit der Antworten auf die Frage des TO: Solange es keine technischen Einschränkungen / Verlinkungen oder andere Aspekte wie z.B. Revision oder ähnliches gibt, was eine Löschung verhindert, kann man Benutzer- und Computerkonten löschen. Da sind wir uns ja einig, oder? ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 12. Oktober 2009 Melden Teilen Geschrieben 12. Oktober 2009 Da sind wir uns ja einig, oder? ;) Selbstverfreilich ;) Bye Norbert Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 12. Oktober 2009 Melden Teilen Geschrieben 12. Oktober 2009 Servus, Mal abgesehen von der Tatsache, dass dies Sinn macht, wenn die Möglichkeit besteht, dass ein Exmitarbeiter in absehbarer Zeit wieder dem Unternehmen zugehörig ist, gibt es noch andere sicherheitsrelevante Gründe so zu verfahren? ein weiterer Fall wäre z.B.: Wird ein Mitarbeiter aus welchen Gründen auch immer mit sofortiger Wirkung freigestellt, sein Arbeitsverhältnis (z.B. bei einem Aufhebungsvertrag) jedoch erst in 6 Monaten endet, deaktiviert man in diesen Fällen ebenfalls das Benutzerkonto sofort und löscht es erst wenn das Arbeitsverhältnis offiziell beendet ist. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 12. Oktober 2009 Melden Teilen Geschrieben 12. Oktober 2009 wegen der Nachvollziehbarkeit der Auditinginformationen bleiben Userkonten bei uns bestehen. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 12. Oktober 2009 Melden Teilen Geschrieben 12. Oktober 2009 wegen der Nachvollziehbarkeit der Auditinginformationen bleiben Userkonten bei uns bestehen. Doch nicht ewig? Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 12. Oktober 2009 Melden Teilen Geschrieben 12. Oktober 2009 Doch nicht ewig? Doch, auch das kenne ich aus genügend Unternehmen und da reden wir nicht von kleinen Krauterbuden sondern teilweise von Unternehmen mit mehr als 100k Angestellten und ca. 25.000 deaktivierten Benutzerkonten im AD. Mittlerweile keine Seltenheit mehr. Und grade in regulierten Industriezweigen in Zusammenführung mit automatisierten Identity Management ist das schon Jahren gang und gäbe. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 12. Oktober 2009 Melden Teilen Geschrieben 12. Oktober 2009 Doch! Ein paar "Leichen" stören AD ja auch nicht weiter Im Gegenteil, das Löschen von Accounts wäre sogar gegen die Vorschrift Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.