magheinz 110 Geschrieben 27. August 2019 Melden Teilen Geschrieben 27. August 2019 Hallo, ich hätte da mal eine Frage: Wie geht ihr mit Accounts von Mitarbeitern um welche das Unternehmen verlassen? Wann löscht ihr Accounts, Mailboxen etc. Was macht ihr wenn Mitarbeiter gehen und die Accounts nicht gleich gelöscht werden (können, sollen, dürfen)? Ihr versteht schon: Ich suche Ideen für einen Exit-Prozess. Mich interessiert nur die technische Umsetzung. So Dinge wie "Wissenstransfer sicherstellen", "Partyservice bestellen" etc sollen jetzt mal außer acht gelassen werden. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 27. August 2019 Melden Teilen Geschrieben 27. August 2019 Das alles müssen andere Instanzen definieren, Du kannst nur das ausführen, was gewünscht ist. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 27. August 2019 Melden Teilen Geschrieben 27. August 2019 Technische Umsetzung ist ja eher trivial Ich empfehle wenn möglich Security Identifier niemals zu löschen. Sonst taucht Jahre später bei einer Revision die Frage auf "da ist eine SID - wer war das?". Deaktivieren der Accounts reicht völlig, und Gruppen kann man in Verteilergruppen umwandeln. Dann bleibt die SID auflösbar, ist aber nicht mehr in den Tokens enthalten. 2 Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 27. August 2019 Melden Teilen Geschrieben 27. August 2019 Vielen Dank, wieder was gelernt. Danke Dir! Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 27. August 2019 Autor Melden Teilen Geschrieben 27. August 2019 vor einer Stunde schrieb daabm: Technische Umsetzung ist ja eher trivial Ich empfehle wenn möglich Security Identifier niemals zu löschen. Sonst taucht Jahre später bei einer Revision die Frage auf "da ist eine SID - wer war das?". Deaktivieren der Accounts reicht völlig, und Gruppen kann man in Verteilergruppen umwandeln. Dann bleibt die SID auflösbar, ist aber nicht mehr in den Tokens enthalten. Dann bleiben einmal vergebene usernamen, Gruppennamen etc auf ewig verbrannt? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 28. August 2019 Melden Teilen Geschrieben 28. August 2019 Wir disablen erst mal den Account und setzten die Mailadresse auf eine .local, damit keine neuen Mails mehr reinlaufen Denn auch ein disabled Account empfängt Mails! Natürlich aus allen Gruppen raus Nach Wartezeit (i.d.R. 4 Wochen) wird die Mailbox exportiert, auf WORM geschrieben und gelöscht Nach 15 Monaten wir der User gelöscht Dazu gibt es eine interne Regelung Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 28. August 2019 Melden Teilen Geschrieben 28. August 2019 Stehen die Mails desjenigen nicht im Archiv? Warum nochmal exportieren? Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 28. August 2019 Autor Melden Teilen Geschrieben 28. August 2019 Also bei uns gibt's kein Archiv. Die Mailboxen müssen wegen privater Nutzung eh gelöscht werden. Zugriff bekommt solange nur jemand, wenn es eine schriftliche Einverständniserklärung auf einem Formblatt gibt. Zitieren Link zu diesem Kommentar
Stibo 17 Geschrieben 28. August 2019 Melden Teilen Geschrieben 28. August 2019 In meiner jetzigen Firma kenne ich den Prozess nicht, in der alten Firma haben wir es so gehandhabt: - AD-Account wurde deaktiviert - Homelaufwerk und Profilordner wurden zusammen in eine ZIP-Datei gepackt und ausgelagert - Der E-Mail-Account wurde aus sämtlichen Verteilern entfernt, alle vorhandenen E-Mails wurden per Mailstore in das sowieso vorhandene Archiv gesichert - es wurde beim Empfang neuer E-Mails eine Nachricht generiert, in der so etwas stand wie "arbeitet nicht mehr im Unternehmen, bitte an Person X oder Y wenden" - nach acht bis zwölf (je nach "Wichtigkeit" der Person) Wochen wurden Postfach und Account gelöscht Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 28. August 2019 Melden Teilen Geschrieben 28. August 2019 vor 52 Minuten schrieb NorbertFe: Stehen die Mails desjenigen nicht im Archiv? Warum nochmal exportieren? Doch - aber die internen nicht, und ist halt das ausgearbeitete Verfahren bei uns Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 28. August 2019 Melden Teilen Geschrieben 28. August 2019 Klar. Danke. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 29. August 2019 Melden Teilen Geschrieben 29. August 2019 Am 27.8.2019 um 23:58 schrieb magheinz: Dann bleiben einmal vergebene usernamen, Gruppennamen etc auf ewig verbrannt? Ja. Ist einfacher als die lästigen Prüferfragen Bzw. wenn es nur um den samAccountName/cn/UPN geht - wir hängen noch nen Timestamp der "Löschung" mit ran an alles, was AD-weit eindeutig sein muß, damit klappt das Recycling ganz gut. Umbenennen ist ok, nur wirklich löschen sollte man halt nicht. 2 Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 29. August 2019 Melden Teilen Geschrieben 29. August 2019 33 minutes ago, daabm said: Ja. Ist einfacher als die lästigen Prüferfragen Bzw. wenn es nur um den samAccountName/cn/UPN geht - wir hängen noch nen Timestamp der "Löschung" mit ran an alles, was AD-weit eindeutig sein muß, damit klappt das Recycling ganz gut. Umbenennen ist ok, nur wirklich löschen sollte man halt nicht. Bin sehr dankbar für den Hinweis! Zitieren Link zu diesem Kommentar
Squire 265 Geschrieben 5. September 2019 Melden Teilen Geschrieben 5. September 2019 (bearbeitet) beim Ausscheiten eines Mitarbeiters wird die Mailbox komplett in EnterpriseVault wegarchiviert. Mitarbeiter unterschreibt i.d.R. eine Einverständniserklärung, dass seine Daten weitergenützt werden dürfen Mailweiterleitung so gewünscht auf anderen Mitarbeiter gesetzt. nach 90 Tagen fliegt der Account komplett raus bearbeitet 5. September 2019 von Squire Zitieren Link zu diesem Kommentar
Avaatar 28 Geschrieben 5. September 2019 Melden Teilen Geschrieben 5. September 2019 Einen wesentlichen Unterschied macht es wenn die private Nutzung gedulded/erlaubt gewesen ist. Dadurch greifen sehr strenge Vorschriften, im gesetzlichen Rahmen zu bleiben ist dann schwer. Das ist die Situation bei uns. Wir machen es so: - MA unterschreibt bei Austritt dass er seine privaten Daten aus Mails und Homedir entfernt hat, dass wir ggf. die Mailadresse benutzen dürfen und die Daten löschen können. - Telefon wird weitergeleitet, Mails aber nicht (können ja private Mails ankommen), es wird ein Abwesenheitsassistent gesetzt dass man sich bitte woanders hin wenden soll. - Falls ein Vorgesetzter Zugriff auf die Mails/Homedir verlangt weil was wichtiges drin ist schalten wir den Zugriff frei, die Sichtung darf aber nur in Anwesenheit eines BR Mitglieds geschehen. Der BR passt auf dass nur Daten angesehen werden die geschäftlich sind (Betreff, Dateinamen etc.). Was nach privat aussieht oder mit "Privat" gekennzeichnet ist wird nicht angefasst. - eMailadresse wird dann (wenn der MA entsprechend wichtig war) umgehangen auf einen Vertreter. Mails, Daten etc. werden nach einer Frist (3-12 Monate je nach Position etc.) gelöscht. Nicht zu löschen ist für uns leider nicht machbar (aus diversen Gründen). Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.