AD - alte/deaktivierte Benutzer ausmisten

[Elharter 11]

Hallo liebes Forum,

 

ich habe folgende Frage: ich würde gerne aus einer bestehenden AD mit bspw. 100 Benutzern die alten/deaktivierten Benutzer (ausgeschieden, gesperrt, Karenz, oder warum auch immer...) aus meiner "Users" OU herausnehmen.

 

Vorwiegend soll dies der Übersicht dienen.

 

Jetzt habe ich dazu ein super tolles Tool gefunden (oldcmp) welches sich recht nett um genau diese Anwendungsfall kümmern kann.

 

 

Bevor ich dies aber durchführe wollte ich wissen welche "Nachteile" dies haben könnte oder ob es dabei Dinge gibt die ich beachten sollte.

Grundlegend fällt mir nichts besonderes ein, dH kein Fall wo irgendetwas passieren könnte.

 

Trotzdem würde ich eben gerne wissen ob mir dahingend etwas entgeht.

 

danke & lg

 

 

 

 

mike

ach mist....hab jetzt erst gesehen das ich den Beitrag im falschen Forum gepostet hab. Bitte ins AD Forum verschieben. danke.

[Sunny61 833]

Nachteile sehe ich auf den ersten Blick auch keine, nur solltest Du dir das merken oder irgendwo groß notieren. Denn wenn einer dieser User sich wieder anmeldet, kann es natürlich sein, dass keine Benutzer GPOs ausgeführt werden. Da kann man u.U. sehr lange nach Fehlern suchen. ;)

[lefg 276]

Hallo,

 

Konten von ausscheidenden Mitarbeitern werden normalerweise auf Anweisung der Personalverwaltung gelöscht. Nun, sollte das nicht so organisiert sein und der Admin aus eigenem Antrieb cleanen wollen, dann muss er sich nur sicher sein, dass der Kontoinhaber wirklich nicht mehr existiert in der Firma und nicht nur in der "Elternpause" ist und bald wiederkehrt.

bearbeitet 24. Juli 2013 von lefg

[Elharter 11]

Ok.... ja - mit den GPO´s seh ich kein Problem, denn diese Verschiebung ist dann klar und wissentlich.

@lefg: ja gelöscht werden die Konten bewusst nicht. Und eine Art Wiedereintritt oder wiederaufnahme der Arbeit geht dann einher mit einem zurückschieben des Objektes in die korrekt OU.

 

Gut, dann ist dies soweit also unbedenklich.

[lefg 276]

Du verschiebst also das Benutzerkonten eines inaktiver Mitarbeiters in eine OU mit der Bezeichnung und Funktion INACTIVE und deaktivierst das Konto, löscht es aus den Sicherheitsgruppen abgenommen von Domänen-Benutzer?

[Elharter 11]

Mhhh ja....grundlegend war das so mein Plan, bis auf die Löschung der Sicherheitsgruppen - die verbleiben da der Benutzer ja ev. wieder aktiv werden könnte.

[lefg 276]

Nun, es könnte ja sein, das der Benutzer nach Rückkehr mit anderen Augaben betraut wird, die vorherigen Bereiche nicht mehr betreten, einsehen darf.

 

Wer nicht mehr unmittelbar mit einer Sache betraut ist, Zugang aus gutem Grund benötigt, dem wird er entzogen, der wird aus der ZBL(Zugangsberechtigungsliste) entfernt. Ende des Gelände, so war das beim Militär und so ist das auch bei uns. Sicherheitsgruppen heißen aus gutem Grund so. Wenn man die Sicherheit nicht aktuell hält, dann wird es zur Unsicherheit.

bearbeitet 24. Juli 2013 von lefg

[Elharter 11]

ok danke

[lefg 276]

Natürlich treffe ich als Admin nicht die Entscheidungen darüber, ich habe mich an Anweisungen zu halten, die von der Geschäftsleitung und der Verwaltungsleitung erlassen wurdenursprünglich auf meine Empfehlung, weiter gibt es Einzelanordnungen.

bearbeitet 24. Juli 2013 von lefg

[Elharter 11]

Schon klar ja...eh wie üblich.