NorbertFe 2.155 Geschrieben 1. März 2024 Melden Geschrieben 1. März 2024 (bearbeitet) Hallo, ich hätte da mal eine Frage zum Handling mit Accounts, die vom Offboarding betroffen sind. Bisher handhabe ich das normalerweise so, dass die Accounts (im AD) deaktiviert und von den Gruppenmitgliedschaften bereinigt werden und in eine entsprechende OU gepackt werden. Wie handhabt ihr das im Allgemeinen? Auch noch Nutzernamen (SAMAccountName und UPN) und Kennworte zurücksetzen? Oder doch einfach löschen? Bye Norbert bearbeitet 1. März 2024 von NorbertFe Zitieren
teletubbieland 195 Geschrieben 1. März 2024 Melden Geschrieben 1. März 2024 Moin, die Accounts werden für eine Karenzzeit deaktiviert und dann gelöscht. In der Regel entscheiden sich dir Kunden für diesen Weg. Habe aber auch Kunden mit Leichen im Keller Zitieren
Sunny61 816 Geschrieben 1. März 2024 Melden Geschrieben 1. März 2024 (bearbeitet) Accounts werden zum Austrittsdatum deaktiviert, von Gruppenmitgliedschaften bereinigt und nach 30 Tagen ebenfalls automatisiert gelöscht. bearbeitet 1. März 2024 von Sunny61 Zitieren
Nobbyaushb 1.506 Geschrieben 1. März 2024 Melden Geschrieben 1. März 2024 Das kommt drauf an Unterliegt das Unternehmen den KRITIS oder jetzt neu den NIS2 Richtlinien, müssen die Accounts in eine speziell dafür geschaffene OU verschoben werden und dürfen in der Regel erst nach 10 Jahren und einem Tag gelöscht werden (z.B. Alumni) Ansonstem wie beschrieben, Mitgliedschaft bereinigen, Mailadresse entfernen etc. Wir hatten dann noch auf Empfehlung des Prüfers vom BSI die Postfächer in pst exportiert um durch das Backup auf WORM Tape auch die Zeit zu gewährleisten Sonst bei den meisten „normalen“ Kunden nach 30 bis 90 Tagen löschen, nachdem aufgeräumt wurde Zitieren
NilsK 2.978 Geschrieben 1. März 2024 Melden Geschrieben 1. März 2024 (bearbeitet) Moin, Wo hast du das denn her? Gibt es einen Artikel in der NIS-2-Richtlinie, aus dem das hervorgeht? Meines Wissens ist die (aus gutem Grund) bei weitem nicht so konkret. Abgesehen davon, ist sie in Deutschland ja auch noch nicht in nationales Recht überführt worden. Gruß, Nils bearbeitet 1. März 2024 von NilsK Zitieren
daabm 1.384 Geschrieben 1. März 2024 Melden Geschrieben 1. März 2024 Wir deaktivieren und archivieren. Gelöscht wird nicht. Zu viele Rückfragen wegen verwaister SIDs in irgendwelchen ACLs... Wo Norbert das her hat, würde mich aber auch interessieren - wir sind KRITIS, ich hab davon noch nichts gehört. Zitieren
NorbertFe 2.155 Geschrieben 2. März 2024 Autor Melden Geschrieben 2. März 2024 Was versteht ihr in dem Zusammenhang „archivieren“? Zitieren
Nobbyaushb 1.506 Geschrieben 2. März 2024 Melden Geschrieben 2. März 2024 Um eure Fragen zu beantworten - das war eine Forderung des Prüfers Da ich nicht mehr an die Unterlagen aus der Firma komme, kann ich leider nicht beantworten auf welcher Grundlage der das wollte Ich weiß nur das wir das nicht dumm fanden und so umgesetzt haben, ist ja einfach Zitieren
cj_berlin 1.394 Geschrieben 2. März 2024 Melden Geschrieben 2. März 2024 (bearbeitet) Moin, diese Forderung habe ich auch ein paarmal gesehen. Ich bin mir nur nicht sicher, ob sie bedeutet, dass die Prüfer nicht begriffen haben, dass AD kein IAM ist, oder ob sie nur zu genau wissen, dass die auditierten Kunden diesem Missverständnis aufgesessen sind. Wer ein IDAM/IAM hat, kann auch ohne Objekte im Live-System sagen, von wann bis wann User X Schreibrechte auf Ordner Y und ein aktives Anmeldekonto hatte. Und wer dafür nur das AD hernimmt, die Gruppenmitgliedschaften aber zum Ausscheiden entfernt, wird diese Aussage nicht retroaktiv treffen können, auch wenn die Accounts erhalten werden. bearbeitet 2. März 2024 von cj_berlin 2 Zitieren
NilsK 2.978 Geschrieben 2. März 2024 Melden Geschrieben 2. März 2024 Moin, okay, das ergibt Sinn. Meine Rückfrage sollte auch nicht so aggressiv klingen, wie sie es vielleicht tat. Im Zusammenhang mit gesetzlichen Regelungen sollte man immer differenzieren. Es wird allgemein weit weniger konkret vorgeschrieben, als oft behauptet oder vermutet wird. Viele angeblich gesetzliche Anforderungen entpuppen sich dann eher als "Best Practices", die sich bei Überprüfungen usw. bewährt haben (im Sinne von: wenn man es so macht, dann fragt wahrscheinlich niemand näher nach), die man aber durchaus auch anders machen kann. Am Ende ist es oft "nobody ever got fired for buying IBM" ... NIS 2 ist ein schönes Beispiel dafür. Es gibt noch nicht mal die deutschen Gesetze dazu, aber es fliegen hanebüchene Behauptungen durch die Fachwelt. Gruß, Nils Zitieren
Nobbyaushb 1.506 Geschrieben 2. März 2024 Melden Geschrieben 2. März 2024 vor 9 Minuten schrieb NilsK: NIS 2 ist ein schönes Beispiel dafür. Es gibt noch nicht mal die deutschen Gesetze dazu, aber es fliegen hanebüchene Behauptungen durch die Fachwelt. Das ist leider wahr Ich werde mich auf jeden Fall in die Richtung weiter schlau machen und wenn möglich qualifizieren Zitieren
Lian 2.531 Geschrieben 2. März 2024 Melden Geschrieben 2. März 2024 Viele Unternehmen und Konzerne haben ihre eigenen Policies mit Bezug auf Industriestandards entwickelt, interessanterweise recht unterschiedliche auch in gleichen Branchen. Dabei geht es nicht hauptsächlich darum gesetzlichen Vorgaben zu entsprechen. Zitieren
MurdocX 965 Geschrieben 2. März 2024 Melden Geschrieben 2. März 2024 Am 1.3.2024 um 15:47 schrieb NorbertFe: ..ich hätte da mal eine Frage zum Handling mit Accounts, die vom Offboarding betroffen sind. Bisher handhabe ich das normalerweise so, dass die Accounts (im AD) deaktiviert und von den Gruppenmitgliedschaften bereinigt werden und in eine entsprechende OU gepackt werden. Wie handhabt ihr das im Allgemeinen? Auch noch Nutzernamen (SAMAccountName und UPN) und Kennworte zurücksetzen? Oder doch einfach löschen? Wir deaktivieren User und schieben sie in eine andere OU. Die Berechtigungen bleiben bestehen, um im Falle von Missbrauch hier nochmal ansetzen zu können. In der Regel werden die Accounts bei uns nach 3-6 Monaten gelöscht. vor 8 Stunden schrieb Nobbyaushb: Um eure Fragen zu beantworten - das war eine Forderung des Prüfers Witzig, das hatten wir auch. Auf (aktualisierte) Nachfrage beim Wirtschaftsprüfer stellt sich heraus, dass es sich nicht auf AD-User bezieht, sondern auf SAP User, die zugriff auf die Firmenfinanzen haben. Und selbst das bezieht sich nicht auf 10 Jahre, sondern auf die Zeit bis zur Prüfung. Also nach der Prüfung i.d.R. 1 Jahr, konnten die Accounts entfernt werden. Zitieren
daabm 1.384 Geschrieben 4. März 2024 Melden Geschrieben 4. März 2024 "Archivieren" heißt hier - wie bei Jan - Verschieben in eine OU "out of scope of Management". 1 Zitieren
Nobbyaushb 1.506 Geschrieben 4. März 2024 Melden Geschrieben 4. März 2024 vor 1 Minute schrieb daabm: "Archivieren" heißt hier - wie bei Jan - Verschieben in eine OU "out of scope of Management". Also wie beu uns die Gruppe Alumni User Wir haben übrigens immer im Textfeld festgehalten welcher Admin wann was gemacht hat, wann Gin Gruppen aufgenommen oder aus welchen Gruppen taus Bei dem ERP waren die Rechte eh User-Abhängig und wurden von der Fachabteilung separat gesetzt - das Programm durfte jeder starten, aber ohne login... Und kein SSO bei dieser Anwendung... Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.