NorbertFe 2.027 Geschrieben 1. März Melden Teilen Geschrieben 1. März (bearbeitet) Hallo, ich hätte da mal eine Frage zum Handling mit Accounts, die vom Offboarding betroffen sind. Bisher handhabe ich das normalerweise so, dass die Accounts (im AD) deaktiviert und von den Gruppenmitgliedschaften bereinigt werden und in eine entsprechende OU gepackt werden. Wie handhabt ihr das im Allgemeinen? Auch noch Nutzernamen (SAMAccountName und UPN) und Kennworte zurücksetzen? Oder doch einfach löschen? Bye Norbert bearbeitet 1. März von NorbertFe Zitieren Link zu diesem Kommentar
teletubbieland 161 Geschrieben 1. März Melden Teilen Geschrieben 1. März Moin, die Accounts werden für eine Karenzzeit deaktiviert und dann gelöscht. In der Regel entscheiden sich dir Kunden für diesen Weg. Habe aber auch Kunden mit Leichen im Keller Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 1. März Melden Teilen Geschrieben 1. März (bearbeitet) Accounts werden zum Austrittsdatum deaktiviert, von Gruppenmitgliedschaften bereinigt und nach 30 Tagen ebenfalls automatisiert gelöscht. bearbeitet 1. März von Sunny61 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 1. März Melden Teilen Geschrieben 1. März Das kommt drauf an Unterliegt das Unternehmen den KRITIS oder jetzt neu den NIS2 Richtlinien, müssen die Accounts in eine speziell dafür geschaffene OU verschoben werden und dürfen in der Regel erst nach 10 Jahren und einem Tag gelöscht werden (z.B. Alumni) Ansonstem wie beschrieben, Mitgliedschaft bereinigen, Mailadresse entfernen etc. Wir hatten dann noch auf Empfehlung des Prüfers vom BSI die Postfächer in pst exportiert um durch das Backup auf WORM Tape auch die Zeit zu gewährleisten Sonst bei den meisten „normalen“ Kunden nach 30 bis 90 Tagen löschen, nachdem aufgeräumt wurde Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 1. März Melden Teilen Geschrieben 1. März (bearbeitet) Moin, Wo hast du das denn her? Gibt es einen Artikel in der NIS-2-Richtlinie, aus dem das hervorgeht? Meines Wissens ist die (aus gutem Grund) bei weitem nicht so konkret. Abgesehen davon, ist sie in Deutschland ja auch noch nicht in nationales Recht überführt worden. Gruß, Nils bearbeitet 1. März von NilsK Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 1. März Melden Teilen Geschrieben 1. März Wir deaktivieren und archivieren. Gelöscht wird nicht. Zu viele Rückfragen wegen verwaister SIDs in irgendwelchen ACLs... Wo Norbert das her hat, würde mich aber auch interessieren - wir sind KRITIS, ich hab davon noch nichts gehört. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 2. März Autor Melden Teilen Geschrieben 2. März Was versteht ihr in dem Zusammenhang „archivieren“? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 2. März Melden Teilen Geschrieben 2. März Um eure Fragen zu beantworten - das war eine Forderung des Prüfers Da ich nicht mehr an die Unterlagen aus der Firma komme, kann ich leider nicht beantworten auf welcher Grundlage der das wollte Ich weiß nur das wir das nicht dumm fanden und so umgesetzt haben, ist ja einfach Zitieren Link zu diesem Kommentar
cj_berlin 1.306 Geschrieben 2. März Melden Teilen Geschrieben 2. März (bearbeitet) Moin, diese Forderung habe ich auch ein paarmal gesehen. Ich bin mir nur nicht sicher, ob sie bedeutet, dass die Prüfer nicht begriffen haben, dass AD kein IAM ist, oder ob sie nur zu genau wissen, dass die auditierten Kunden diesem Missverständnis aufgesessen sind. Wer ein IDAM/IAM hat, kann auch ohne Objekte im Live-System sagen, von wann bis wann User X Schreibrechte auf Ordner Y und ein aktives Anmeldekonto hatte. Und wer dafür nur das AD hernimmt, die Gruppenmitgliedschaften aber zum Ausscheiden entfernt, wird diese Aussage nicht retroaktiv treffen können, auch wenn die Accounts erhalten werden. bearbeitet 2. März von cj_berlin 2 Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 2. März Melden Teilen Geschrieben 2. März Moin, okay, das ergibt Sinn. Meine Rückfrage sollte auch nicht so aggressiv klingen, wie sie es vielleicht tat. Im Zusammenhang mit gesetzlichen Regelungen sollte man immer differenzieren. Es wird allgemein weit weniger konkret vorgeschrieben, als oft behauptet oder vermutet wird. Viele angeblich gesetzliche Anforderungen entpuppen sich dann eher als "Best Practices", die sich bei Überprüfungen usw. bewährt haben (im Sinne von: wenn man es so macht, dann fragt wahrscheinlich niemand näher nach), die man aber durchaus auch anders machen kann. Am Ende ist es oft "nobody ever got fired for buying IBM" ... NIS 2 ist ein schönes Beispiel dafür. Es gibt noch nicht mal die deutschen Gesetze dazu, aber es fliegen hanebüchene Behauptungen durch die Fachwelt. Gruß, Nils Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 2. März Melden Teilen Geschrieben 2. März vor 9 Minuten schrieb NilsK: NIS 2 ist ein schönes Beispiel dafür. Es gibt noch nicht mal die deutschen Gesetze dazu, aber es fliegen hanebüchene Behauptungen durch die Fachwelt. Das ist leider wahr Ich werde mich auf jeden Fall in die Richtung weiter schlau machen und wenn möglich qualifizieren Zitieren Link zu diesem Kommentar
Lian 2.421 Geschrieben 2. März Melden Teilen Geschrieben 2. März Viele Unternehmen und Konzerne haben ihre eigenen Policies mit Bezug auf Industriestandards entwickelt, interessanterweise recht unterschiedliche auch in gleichen Branchen. Dabei geht es nicht hauptsächlich darum gesetzlichen Vorgaben zu entsprechen. Zitieren Link zu diesem Kommentar
MurdocX 949 Geschrieben 2. März Melden Teilen Geschrieben 2. März Am 1.3.2024 um 15:47 schrieb NorbertFe: ..ich hätte da mal eine Frage zum Handling mit Accounts, die vom Offboarding betroffen sind. Bisher handhabe ich das normalerweise so, dass die Accounts (im AD) deaktiviert und von den Gruppenmitgliedschaften bereinigt werden und in eine entsprechende OU gepackt werden. Wie handhabt ihr das im Allgemeinen? Auch noch Nutzernamen (SAMAccountName und UPN) und Kennworte zurücksetzen? Oder doch einfach löschen? Wir deaktivieren User und schieben sie in eine andere OU. Die Berechtigungen bleiben bestehen, um im Falle von Missbrauch hier nochmal ansetzen zu können. In der Regel werden die Accounts bei uns nach 3-6 Monaten gelöscht. vor 8 Stunden schrieb Nobbyaushb: Um eure Fragen zu beantworten - das war eine Forderung des Prüfers Witzig, das hatten wir auch. Auf (aktualisierte) Nachfrage beim Wirtschaftsprüfer stellt sich heraus, dass es sich nicht auf AD-User bezieht, sondern auf SAP User, die zugriff auf die Firmenfinanzen haben. Und selbst das bezieht sich nicht auf 10 Jahre, sondern auf die Zeit bis zur Prüfung. Also nach der Prüfung i.d.R. 1 Jahr, konnten die Accounts entfernt werden. Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 4. März Melden Teilen Geschrieben 4. März "Archivieren" heißt hier - wie bei Jan - Verschieben in eine OU "out of scope of Management". 1 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 4. März Melden Teilen Geschrieben 4. März vor 1 Minute schrieb daabm: "Archivieren" heißt hier - wie bei Jan - Verschieben in eine OU "out of scope of Management". Also wie beu uns die Gruppe Alumni User Wir haben übrigens immer im Textfeld festgehalten welcher Admin wann was gemacht hat, wann Gin Gruppen aufgenommen oder aus welchen Gruppen taus Bei dem ERP waren die Rechte eh User-Abhängig und wurden von der Fachabteilung separat gesetzt - das Programm durfte jeder starten, aber ohne login... Und kein SSO bei dieser Anwendung... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.