AD Benutzer- und Computerkonten deaktivieren oder löschen?

[Pylon 10]

Hallo zusammen,

 

ich habe einmal gehört, dass es für Computer- und Benutzerobjekte im AD sinnvoller ist, bzw. empfohlen wird, diese zu deaktivieren, anstellen sie zu löschen.

 

Mal abgesehen von der Tatsache, dass dies Sinn macht, wenn die Möglichkeit besteht, dass ein Exmitarbeiter in absehbarer Zeit wieder dem Unternehmen zugehörig ist, gibt es noch andere sicherheitsrelevante Gründe so zu verfahren?

 

Gruß

Pylon

[NorbertFe 2.283]

Nein. Wenn das Konto nirgends mehr gebraucht wird und auch nirgends direkt mehr berechtigt ist, kannst du das genauso gut auch löschen. Deaktivieren sollte man einfach als eine "Schwelle" sehen, über die man dann stolpert, ohne jedoch auf die "Fresse" zu fallen. ;)

 

Bye

Norbert

[phoenixcp 10]

Wobei das auf der anderen Seite auch von deinen Revisionspflichten abhängt. Ich kenne aus dem Consultinggeschäft genügend Unternehmen, die aus Revisionsgründen AD-Konten nicht löschen dürfen, dort werden diese lediglich deaktiviert und in separate OU's verschoben.

[NorbertFe 2.283]

Das wäre aber kein technischer Grund. ;)

Wobei mir unklar ist, warum in der Revision AD-Konten für irgendwas wirklich relevant sind.

 

 

Bye

Norbert

[phoenixcp 10]

Wenn du ERP mit Navision fährst zum Beispiel. Mein letzter Kunde hatte hier die Kopplung zwischen AD und NAV, die via User-SID passiert. Und dafür durften die Konten nicht gelöscht werden, weil dann Revisionsbestandteile im NAV "beschädigt" werden würden.

[NorbertFe 2.283]

OK, dann verweise ich auf meine erste Aussagen:

"Wenn das Konto nirgends mehr gebraucht wird und auch nirgends direkt mehr berechtigt ist" ;)

 

Bye

Norbert

[phoenixcp 10]

Soweit richtig. Nur wollte ich das Thema trotzdem nochmal ansprechen, habe auch schon Admins erlebt, die auf diese Frage meinten, das die Konten nicht mehr benötigt werden, wir haben gelöscht und am nächsten Morgen stand ERP und / oder FiBu still.

[NorbertFe 2.283]

Dann haben sie die Frage die du gestellt hast wohl falsch beantwortet. :)

 

Bye

Norbert

[phoenixcp 10]

Ja, haben sie... :D

 

Aber egal. Fazit der Antworten auf die Frage des TO: Solange es keine technischen Einschränkungen / Verlinkungen oder andere Aspekte wie z.B. Revision oder ähnliches gibt, was eine Löschung verhindert, kann man Benutzer- und Computerkonten löschen. Da sind wir uns ja einig, oder? ;)

[NorbertFe 2.283]

Da sind wir uns ja einig, oder? ;)

 

Selbstverfreilich ;)

 

Bye

Norbert

[Daim 12]

Servus,

 

Mal abgesehen von der Tatsache, dass dies Sinn macht, wenn die Möglichkeit besteht, dass ein Exmitarbeiter in absehbarer Zeit wieder dem Unternehmen zugehörig ist, gibt es noch andere sicherheitsrelevante Gründe so zu verfahren?

 

ein weiterer Fall wäre z.B.:

 

Wird ein Mitarbeiter aus welchen Gründen auch immer mit sofortiger Wirkung freigestellt, sein Arbeitsverhältnis (z.B. bei einem Aufhebungsvertrag) jedoch erst in 6 Monaten endet, deaktiviert man in diesen Fällen ebenfalls das Benutzerkonto sofort und löscht es erst wenn das Arbeitsverhältnis offiziell beendet ist.

[blub 115]

wegen der Nachvollziehbarkeit der Auditinginformationen bleiben Userkonten bei uns bestehen.

[Daim 12]

wegen der Nachvollziehbarkeit der Auditinginformationen bleiben Userkonten bei uns bestehen.

 

Doch nicht ewig?

[phoenixcp 10]

Doch nicht ewig?

Doch, auch das kenne ich aus genügend Unternehmen und da reden wir nicht von kleinen Krauterbuden sondern teilweise von Unternehmen mit mehr als 100k Angestellten und ca. 25.000 deaktivierten Benutzerkonten im AD. Mittlerweile keine Seltenheit mehr. Und grade in regulierten Industriezweigen in Zusammenführung mit automatisierten Identity Management ist das schon Jahren gang und gäbe.

[blub 115]

Doch! Ein paar "Leichen" stören AD ja auch nicht weiter

Im Gegenteil, das Löschen von Accounts wäre sogar gegen die Vorschrift