Best Practice bei User Änderungen

[v-rtc 91]

Hallo zusammen,

 

ich wollte mal in Erfahrungen bringen, wie Ihr die User Änderungen im AD und Exchange (z.B. Heirat) umsetzt?

 

Vom Extern der hier das AD und Exchange aufgebaut hat, kam die Aussage, dass man am besten einen neuen User und neues Postfach anlegen sollte, da man nie weiß, welche Attribute oder IDs später dann Probleme machen.

Ist das wirklich so? Oder warum gibt es die Funktion umbennenen bzw. ein Postfach umhängen? 

 

Bin auf Eure Meinung gespannt.

Vielen Dank.

Grüße

bearbeitet 17. Januar 2019 von RolfW
Ergänzung AD und Exchange

[Nobbyaushb 1.484]

Moin,

von wem kam denn die völlig haltlose Aussage?

 

Wenn alles richtig gemacht wurde, die Mail-Policy korrekt ist, wird nach dem Rename eine neue Mailadresse für den User generiert und als primäre gesetzt, die alte SMTP bleibt als weitere SMTP erhalten.

 

[testperson 1.728]

Hi,

 

wenn beim Anlegen des Users irgendwelche Attribute / IDs gesetzt werden und diese bei z.B. Heirat ebenfalls eine Anpassung brauchen, dann werden die eben bei der Umbennung auch angepasst.

Wir benennen bei unseren Kunden jedenfalls die User um und passen das Benötigte eben an. Bzw. gibt es da halt neben Anlage-Scripts auch Umbenenn-Scripts oder gleich eine 3rd Party Lösung dafür.

 

Gruß

Jan

bearbeitet 17. Januar 2019 von testperson

[NilsK 2.968]

Moin,

 

interessante Behauptung - was hat denn die Person genau gesagt? 

 

Gruß, Nils

 

[magheinz 110]

vor 2 Stunden schrieb testperson:

Oder gleich eine 3rd Party Lösung dafür

Kannst du da etwas konkretes empfehlen?

[v-rtc 91]

Hallo zusammen,

 

von einem erfahrenen Externen und Kollege hat es übernommen.

 

Es geht wohl darum, dass ja die ID gleich bleibt, aber man nicht weiß wo die anderen Attribute vergraben sind, die man bei der Namensänderung dann nicht geändert werden.

Ehrlich gesagt, ich verstehe es nicht genau, daher die Frage an Euch. Persönlich dachte ich immer, Umbenennen und die wichtigsten Felder werden angepasst. Die Aussage mit der ID verstehe ich ehrlich gesagt auch nicht ganz.

Das man es später mal besser nachvollziehen kann (neuer User) ist vielleicht noch ok. Umhängen eines Postfaches ist wohl ähnlich gelagert (ID), aber doch auch völlig unerheblich, oder?

 

Vielen Dank!

Grüße

[NilsK 2.968]

Moin,

 

die Aussage klingt nach wilden Vermutungen ohne Sachkenntnis ... sorry. 

 

Maßgebend zur Identifikation eines User-Objekts ist die Security ID (SID). Diese wird in Berechtigungslisten, bei der Zuordnung von Exchange-Mailboxen usw. verwendet. Die SID ändert sich nie und wird nach dem Löschen eines Objekts nie erneut verwendet. (Nahezu) alle anderen Attribute kann man ändern. Da beim Umbenennen eines Users (dito Gruppe, Computer) die SID gleich bleibt, bleiben Berechtigungen usw. für dieses Objekt unverändert erhalten, ebenso Gruppenmitgliedschaften.

 

Man kann auch sämtliche Attribute eines Objekts einsehen, spätestens mit ADSI Edit. Daher gibt es auch keine "verborgenen" oder "vergrabenen" Attribute. Ändert man den Namen eines Users, so passt ADUC mehrere Felder gleich mit an. Reicht das nicht aus, dann kann man weitere Felder auch anpassen. Was nicht angepasst wird, sind separate "abhängige" Werte wie etwa der Name des Profilordners. Den kann man bei Bedarf manuell anpassen.

 

Gruß, Nils

 

[v-rtc 91]

Also wie ich es mir gedacht habe, völlig sinnfrei. Danke Euch.

[testperson 1.728]

vor 1 Stunde schrieb magheinz:

Kannst du da etwas konkretes empfehlen?

Ich habe mir dafür damals von Quest ein Tool angesehen. K.A. wie es damals hieß und ob es jetzt immer noch Quest ist. Ebenfalls war von RES Software (jetzt glaube ich Ivanti) was dabei. Dann gabs noch den Citrix CloudPortal Service Manager und eine Open Source Lösung, wo mir der Name nicht mehr einfällt. Also wirklich empfehlen kann ich nichts. Das hat bei uns alles nicht wirklich gepasst bzw. war "too much".

 

"Geworden" ist es jetzt letztendlich die Benutzerverwaltung der DATEV Software und etwas Scripting.

[v-rtc 91]

Zur Nutzeranlage haben wir hier Z-Hire.

[daabm 1.366]

Ich ergänze mal die Antwort von Nils, der ich vollständig zustimme: Die SID ist der Identifier eines Accounts. Da die Person (also der Mensch) nach der Namensänderung die gleiche Person ist, ist auch der Account (also die SID im AD) ganz klar noch der gleiche Account.

[Lian 2.450]

vor 17 Stunden schrieb RolfW:

Also wie ich es mir gedacht habe, völlig sinnfrei. Danke Euch.

So ist es - im Gegenteil: Das Verwerfen des bestehenden Benutzerkontos bereitet zukünftig eher Probleme.

Es fehlt dann immer irgendetwas...

vor 16 Stunden schrieb testperson:

Ich habe mir dafür damals von Quest ein Tool angesehen. K.A. wie es damals hieß und ob es jetzt immer noch Quest ist. Ebenfalls war von RES Software (jetzt glaube ich Ivanti) was dabei. Dann gabs noch den Citrix CloudPortal Service Manager und eine Open Source Lösung, wo mir der Name nicht mehr einfällt. Also wirklich empfehlen kann ich nichts. Das hat bei uns alles nicht wirklich gepasst bzw. war "too much".

Identity Management Lösungen von Quest sowie dem Vorgänger und Nachfolger haben mich lange Jahre begleitet. Bei einem Vergleich der IDM-Prozesse, die ich bis dato bei Unternehmen gesehen habe, wird zu 95% ein bestehendes Konto umbenannt und wiederverwendet. Wozu gibt es die Funktionen

 

[v-rtc 91]

Wie meinst Du fehlt immer irgendetwas? :)

 

Die Funktion gab es nur für einfache Leute

 

[Lian 2.450]

Seien es nur Gruppen, Verteiler, Adress- bzw. Telefonnummern, Postfachbeziehungen/Erweiterungsattribute, Bezüge anderer System zu am Benutzerkonto hinterlegten Daten usw.