Jump to content

Mitarbeiter verlässt das Unternehmen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich hätte da mal eine Frage:

Wie geht ihr mit Accounts von Mitarbeitern um welche das Unternehmen verlassen? Wann löscht ihr Accounts, Mailboxen etc.

Was macht ihr wenn Mitarbeiter gehen und die Accounts nicht gleich gelöscht werden (können, sollen, dürfen)?

 

Ihr versteht schon: Ich suche Ideen für einen Exit-Prozess.

Mich interessiert nur die technische Umsetzung. So Dinge wie "Wissenstransfer sicherstellen", "Partyservice bestellen" etc sollen jetzt mal außer acht gelassen werden.

Link zu diesem Kommentar

Technische Umsetzung ist ja eher trivial :-) Ich empfehle wenn möglich Security Identifier niemals zu löschen. Sonst taucht Jahre später bei einer Revision die Frage auf "da ist eine SID - wer war das?". Deaktivieren der Accounts reicht völlig, und Gruppen kann man in Verteilergruppen umwandeln. Dann bleibt die SID auflösbar, ist aber nicht mehr in den Tokens enthalten.

Link zu diesem Kommentar
vor einer Stunde schrieb daabm:

Technische Umsetzung ist ja eher trivial :-) Ich empfehle wenn möglich Security Identifier niemals zu löschen. Sonst taucht Jahre später bei einer Revision die Frage auf "da ist eine SID - wer war das?". Deaktivieren der Accounts reicht völlig, und Gruppen kann man in Verteilergruppen umwandeln. Dann bleibt die SID auflösbar, ist aber nicht mehr in den Tokens enthalten.

Dann bleiben einmal vergebene usernamen, Gruppennamen etc auf ewig verbrannt? 

Link zu diesem Kommentar

Wir disablen erst mal den Account und setzten die Mailadresse auf eine .local, damit keine neuen Mails mehr reinlaufen

Denn auch ein disabled Account empfängt Mails!

Natürlich aus allen Gruppen raus

 

Nach Wartezeit (i.d.R. 4 Wochen) wird die Mailbox exportiert, auf WORM geschrieben und gelöscht

 

Nach 15 Monaten wir der User gelöscht

 

Dazu gibt es eine interne Regelung

Link zu diesem Kommentar

In meiner jetzigen Firma kenne ich den Prozess nicht, in der alten Firma haben wir es so gehandhabt:

 

- AD-Account wurde deaktiviert

- Homelaufwerk und Profilordner wurden zusammen in eine ZIP-Datei gepackt und ausgelagert

- Der E-Mail-Account wurde aus sämtlichen Verteilern entfernt, alle vorhandenen E-Mails wurden per Mailstore in das sowieso vorhandene Archiv gesichert

- es wurde beim Empfang neuer E-Mails eine Nachricht generiert, in der so etwas stand wie "arbeitet nicht mehr im Unternehmen, bitte an Person X oder Y wenden"

- nach acht bis zwölf (je nach "Wichtigkeit" der Person) Wochen wurden Postfach und Account gelöscht

Link zu diesem Kommentar
Am 27.8.2019 um 23:58 schrieb magheinz:

Dann bleiben einmal vergebene usernamen, Gruppennamen etc auf ewig verbrannt? 

Ja. Ist einfacher als die lästigen Prüferfragen :-) Bzw. wenn es nur um den samAccountName/cn/UPN geht - wir hängen noch nen Timestamp der "Löschung" mit ran an alles, was AD-weit eindeutig sein muß, damit klappt das Recycling ganz gut. Umbenennen ist ok, nur wirklich löschen sollte man halt nicht.

Link zu diesem Kommentar
33 minutes ago, daabm said:

Ja. Ist einfacher als die lästigen Prüferfragen :-) Bzw. wenn es nur um den samAccountName/cn/UPN geht - wir hängen noch nen Timestamp der "Löschung" mit ran an alles, was AD-weit eindeutig sein muß, damit klappt das Recycling ganz gut. Umbenennen ist ok, nur wirklich löschen sollte man halt nicht.

Bin sehr dankbar für den Hinweis!

Link zu diesem Kommentar

beim Ausscheiten eines Mitarbeiters wird die Mailbox komplett in EnterpriseVault wegarchiviert. Mitarbeiter unterschreibt i.d.R. eine Einverständniserklärung, dass seine Daten weitergenützt werden dürfen

Mailweiterleitung so gewünscht auf anderen Mitarbeiter gesetzt.

nach 90 Tagen fliegt der Account komplett raus

bearbeitet von Squire
Link zu diesem Kommentar

Einen wesentlichen Unterschied macht es wenn die private Nutzung gedulded/erlaubt gewesen ist. Dadurch greifen sehr strenge Vorschriften, im gesetzlichen Rahmen zu bleiben ist dann schwer.

Das ist die Situation bei uns. Wir machen es so:

 

- MA unterschreibt bei Austritt dass er seine privaten Daten aus Mails und Homedir entfernt hat, dass wir ggf. die Mailadresse benutzen dürfen und die Daten löschen können.

 

- Telefon wird weitergeleitet, Mails aber nicht (können ja private Mails ankommen), es wird ein Abwesenheitsassistent gesetzt dass man sich bitte woanders hin wenden soll.

 

- Falls ein Vorgesetzter Zugriff auf die Mails/Homedir verlangt weil was wichtiges drin ist schalten wir den Zugriff frei, die Sichtung darf aber nur in Anwesenheit eines BR Mitglieds geschehen. Der BR passt auf dass nur Daten angesehen werden die geschäftlich sind (Betreff, Dateinamen etc.). Was nach privat aussieht oder mit "Privat" gekennzeichnet ist wird nicht angefasst.

 

- eMailadresse wird dann (wenn der MA entsprechend wichtig war) umgehangen auf einen Vertreter. Mails, Daten etc. werden nach einer Frist (3-12 Monate je nach Position etc.) gelöscht.

 

Nicht zu löschen ist für uns leider nicht machbar (aus diversen Gründen).

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...