Регламент «Блокировка и удаление учётных записей компьютеров и пользователей». 1. Блокировка учётных записей пользователей. 1.1. Общие положения. Блокировкой учётной записи называется переход учётной записи в состояние «отключение» (Disabled). Блокировка учетных записей пользователей происходит в соответствии с заявкой: службы РИО – немедленная блокировка; руководства ДИТ – немедленная блокировка. 1.2. Процесс блокировки учётной записи пользователя. Руководство ДИТ РИО ОСТ Заявка Нет Пользователь есть в AD? ДА Блокировка Учётной Записи Заявка закрыта Рис.1 – Алгоритм блокировки пользователя. Блокировка учётной записи означает сохранение членства в группах данного пользователя, сохранение групповых политик и пользовательских ресурсов (персональные данные, почтовый ящик). 2. Увольнения сотрудника. 2.1. Общие положения. Увольнением учётной записи пользователя называется процедура, описываемая пунктами: 1) отключения учётной записи пользователя – установки в состояние Disabled; 2) перемещения учётной записи пользователя в контейнер Obsolete, содержащий устаревшие объекты; 3) перемещения пользовательских ресурсов, а именно папок MyDocs, AppData, Desktop на сервер-хранилище для последующего шестимесячного backup'а на кассету; 4) выгрузки содержимого почтового ящика в pst файл, отключения и перемещения почтового ящика пользователя в базу для удалённых объектов Redondant; 5) удаление контакта при отсутствии учётной записи пользователя. Увольнение пользователей происходит в соответствии с заявкой: службы РИО – немедленно; руководства ДИТ – немедленно; управления кадров – в течение дня. 2.2. Описание процесса увольнения сотрудника. РУКОВОДСТВО ДИТ КАДРЫ РИО ОСТ ЗАЯВКА ДА Контакт есть в AD? НЕТ DELETE ПОЛЬЗОВАТЕЛЬ ЕСТЬ В AD? Есть Почта? ДА Есть ПЕРСОНАЛЬНЫЕ ПАПКИ? НЕТ НЕТ ДА ЭКСПОРТ В PST ДА ПЕРЕМЕЩЕНИЕ ПЕРСОНАЛЬНЫХ ПАПОК Redondant (EXCHANGE) ОТКЛЮЧЕНИЕ УЧЁТНОЙ ЗАПИСИ ПЕРЕНОС УЗ ЗАЯВКА ЗАКРЫТА Рис.2 – Алгоритм увольнения сотрудника. 3. Контроль учётных записей компьютеров и пользователей. Script RemoveADobjects. 3.1. Общие положения. Для очистки каталога AD от неактивных (неиспользуемых) учётных записей компьютеров и пользователей был разработан script RemoveADobjects, решающий следующие задачи: 1. Контроль над учётными записями сотрудников ГПХ. 2. Контроль над учётными записями сотрудниц, ушедших в декрет. 3. Контроль над неразмещёнными учётными записями компьютеров. При присоединении компьютера к домену, учётная запись компьютера попадает в контейнер по умолчанию, на который не распространяются политики. Такая учётная запись компьютера называется не размещённой. 4. Контроль над неактивными учётными записями пользователей. 5. Контроль над отключёнными учётными записями пользователей. 6. Контроль над неактивными учётными записями компьютеров. Функции script RemoveADobjects: 7. Отключение и перемещение учётных записей компьютеров, не размёщенных более 6 дней. 8. Отключение и перемещение в контейнер Obsolete учётных записей компьютеров, не используемых более 120 дней. 9. Увольнение учётных записей пользователей, не используемых более 60 дней. 10. Удаление учётных записей пользователей и компьютеров, не используемых более 150 дней. 2.3. Описание алгоритма работы script RemoveADobjects. Начало Поиск в AD M=6 К=120 Z=150 N=60 НЕ активен N Дней? ДА Перенос Personal Data Пользователь Пользователь или компьютер Компьютер ДА Находится в карантинном OU домена? НЕТ Не активен K Дней? ДА Отключение объекта AD и перемещение в OU Obsolete Не активен Z Дней & находится в Obsolete? ДА Удаление объекта из AD Конец Рис.3 – Алгоритм работы script RemoveADobjects. Больше M Дней? ДА