Mitarbeiter verlässt das Unternehmen

[magheinz 110]

Hallo,

ich hätte da mal eine Frage:

Wie geht ihr mit Accounts von Mitarbeitern um welche das Unternehmen verlassen? Wann löscht ihr Accounts, Mailboxen etc.

Was macht ihr wenn Mitarbeiter gehen und die Accounts nicht gleich gelöscht werden (können, sollen, dürfen)?

 

Ihr versteht schon: Ich suche Ideen für einen Exit-Prozess.

Mich interessiert nur die technische Umsetzung. So Dinge wie "Wissenstransfer sicherstellen", "Partyservice bestellen" etc sollen jetzt mal außer acht gelassen werden.

[Sunny61 806]

Das alles müssen andere Instanzen definieren, Du kannst nur das ausführen, was gewünscht ist.

[daabm 1.348]

Technische Umsetzung ist ja eher trivial Ich empfehle wenn möglich Security Identifier niemals zu löschen. Sonst taucht Jahre später bei einer Revision die Frage auf "da ist eine SID - wer war das?". Deaktivieren der Accounts reicht völlig, und Gruppen kann man in Verteilergruppen umwandeln. Dann bleibt die SID auflösbar, ist aber nicht mehr in den Tokens enthalten.

[v-rtc 88]

Vielen Dank, wieder was gelernt. Danke Dir!

[magheinz 110]

vor einer Stunde schrieb daabm:

Technische Umsetzung ist ja eher trivial Ich empfehle wenn möglich Security Identifier niemals zu löschen. Sonst taucht Jahre später bei einer Revision die Frage auf "da ist eine SID - wer war das?". Deaktivieren der Accounts reicht völlig, und Gruppen kann man in Verteilergruppen umwandeln. Dann bleibt die SID auflösbar, ist aber nicht mehr in den Tokens enthalten.

Dann bleiben einmal vergebene usernamen, Gruppennamen etc auf ewig verbrannt? 

[Nobbyaushb 1.464]

Wir disablen erst mal den Account und setzten die Mailadresse auf eine .local, damit keine neuen Mails mehr reinlaufen

Denn auch ein disabled Account empfängt Mails!

Natürlich aus allen Gruppen raus

 

Nach Wartezeit (i.d.R. 4 Wochen) wird die Mailbox exportiert, auf WORM geschrieben und gelöscht

 

Nach 15 Monaten wir der User gelöscht

 

Dazu gibt es eine interne Regelung

[NorbertFe 2.027]

Stehen die Mails desjenigen nicht im Archiv? Warum nochmal exportieren?

[magheinz 110]

Also bei uns gibt's kein Archiv. 

Die Mailboxen müssen wegen privater Nutzung eh gelöscht werden. Zugriff bekommt solange nur jemand, wenn es eine schriftliche Einverständniserklärung auf einem Formblatt gibt. 

[Stibo 17]

In meiner jetzigen Firma kenne ich den Prozess nicht, in der alten Firma haben wir es so gehandhabt:

 

- AD-Account wurde deaktiviert

- Homelaufwerk und Profilordner wurden zusammen in eine ZIP-Datei gepackt und ausgelagert

- Der E-Mail-Account wurde aus sämtlichen Verteilern entfernt, alle vorhandenen E-Mails wurden per Mailstore in das sowieso vorhandene Archiv gesichert

- es wurde beim Empfang neuer E-Mails eine Nachricht generiert, in der so etwas stand wie "arbeitet nicht mehr im Unternehmen, bitte an Person X oder Y wenden"

- nach acht bis zwölf (je nach "Wichtigkeit" der Person) Wochen wurden Postfach und Account gelöscht

[Nobbyaushb 1.464]

vor 52 Minuten schrieb NorbertFe:

Stehen die Mails desjenigen nicht im Archiv? Warum nochmal exportieren?

Doch - aber die internen nicht, und ist halt das ausgearbeitete Verfahren bei uns

[NorbertFe 2.027]

Klar. Danke.

[daabm 1.348]

Am 27.8.2019 um 23:58 schrieb magheinz:

Dann bleiben einmal vergebene usernamen, Gruppennamen etc auf ewig verbrannt? 

Ja. Ist einfacher als die lästigen Prüferfragen Bzw. wenn es nur um den samAccountName/cn/UPN geht - wir hängen noch nen Timestamp der "Löschung" mit ran an alles, was AD-weit eindeutig sein muß, damit klappt das Recycling ganz gut. Umbenennen ist ok, nur wirklich löschen sollte man halt nicht.

[v-rtc 88]

33 minutes ago, daabm said:

Ja. Ist einfacher als die lästigen Prüferfragen Bzw. wenn es nur um den samAccountName/cn/UPN geht - wir hängen noch nen Timestamp der "Löschung" mit ran an alles, was AD-weit eindeutig sein muß, damit klappt das Recycling ganz gut. Umbenennen ist ok, nur wirklich löschen sollte man halt nicht.

Bin sehr dankbar für den Hinweis!

[Squire 260]

beim Ausscheiten eines Mitarbeiters wird die Mailbox komplett in EnterpriseVault wegarchiviert. Mitarbeiter unterschreibt i.d.R. eine Einverständniserklärung, dass seine Daten weitergenützt werden dürfen

Mailweiterleitung so gewünscht auf anderen Mitarbeiter gesetzt.

nach 90 Tagen fliegt der Account komplett raus

bearbeitet 5. September 2019 von Squire

[Avaatar 28]

Einen wesentlichen Unterschied macht es wenn die private Nutzung gedulded/erlaubt gewesen ist. Dadurch greifen sehr strenge Vorschriften, im gesetzlichen Rahmen zu bleiben ist dann schwer.

Das ist die Situation bei uns. Wir machen es so:

 

- MA unterschreibt bei Austritt dass er seine privaten Daten aus Mails und Homedir entfernt hat, dass wir ggf. die Mailadresse benutzen dürfen und die Daten löschen können.

 

- Telefon wird weitergeleitet, Mails aber nicht (können ja private Mails ankommen), es wird ein Abwesenheitsassistent gesetzt dass man sich bitte woanders hin wenden soll.

 

- Falls ein Vorgesetzter Zugriff auf die Mails/Homedir verlangt weil was wichtiges drin ist schalten wir den Zugriff frei, die Sichtung darf aber nur in Anwesenheit eines BR Mitglieds geschehen. Der BR passt auf dass nur Daten angesehen werden die geschäftlich sind (Betreff, Dateinamen etc.). Was nach privat aussieht oder mit "Privat" gekennzeichnet ist wird nicht angefasst.

 

- eMailadresse wird dann (wenn der MA entsprechend wichtig war) umgehangen auf einen Vertreter. Mails, Daten etc. werden nach einer Frist (3-12 Monate je nach Position etc.) gelöscht.

 

Nicht zu löschen ist für uns leider nicht machbar (aus diversen Gründen).