Регламент «Блокировка и удаление учётных записей компьютеров и пользователей»

Регламент «Блокировка и удаление учётных записей компьютеров и пользователей».
1. Блокировка учётных записей пользователей.
1.1. Общие положения.
Блокировкой учётной записи называется переход учётной записи в состояние «отключение»
(Disabled).
Блокировка учетных записей пользователей происходит в соответствии с заявкой:


службы РИО – немедленная блокировка;
руководства ДИТ – немедленная блокировка.
1.2. Процесс блокировки учётной записи пользователя.
Руководство ДИТ
РИО
ОСТ
Заявка
Нет
Пользователь
есть в AD?
ДА
Блокировка
Учётной
Записи
Заявка
закрыта
Рис.1 – Алгоритм блокировки пользователя.
Блокировка учётной записи означает сохранение членства в группах данного пользователя,
сохранение групповых политик и пользовательских ресурсов (персональные данные, почтовый
ящик).
2.
Увольнения сотрудника.
2.1. Общие положения.
Увольнением учётной записи пользователя называется процедура, описываемая пунктами:
1) отключения учётной записи пользователя – установки в состояние Disabled;
2) перемещения учётной записи пользователя в контейнер Obsolete, содержащий
устаревшие объекты;
3) перемещения пользовательских ресурсов, а именно папок MyDocs, AppData, Desktop на
сервер-хранилище для последующего шестимесячного backup'а на кассету;
4) выгрузки содержимого почтового ящика в pst файл, отключения и перемещения почтового
ящика пользователя в базу для удалённых объектов Redondant;
5) удаление контакта при отсутствии учётной записи пользователя.
Увольнение пользователей происходит в соответствии с заявкой:



службы РИО – немедленно;
руководства ДИТ – немедленно;
управления кадров – в течение дня.
2.2. Описание процесса увольнения сотрудника.
РУКОВОДСТВО ДИТ
КАДРЫ
РИО
ОСТ
ЗАЯВКА
ДА
Контакт есть в AD?
НЕТ
DELETE
ПОЛЬЗОВАТЕЛЬ ЕСТЬ
В AD?
Есть
Почта?
ДА
Есть
ПЕРСОНАЛЬНЫЕ
ПАПКИ?
НЕТ
НЕТ
ДА
ЭКСПОРТ В PST
ДА
ПЕРЕМЕЩЕНИЕ
ПЕРСОНАЛЬНЫХ
ПАПОК
Redondant
(EXCHANGE)
ОТКЛЮЧЕНИЕ
УЧЁТНОЙ
ЗАПИСИ
ПЕРЕНОС УЗ
ЗАЯВКА ЗАКРЫТА
Рис.2 – Алгоритм увольнения сотрудника.
3. Контроль учётных записей компьютеров и пользователей. Script RemoveADobjects.
3.1. Общие положения.
Для очистки каталога AD от неактивных (неиспользуемых) учётных записей компьютеров и
пользователей был разработан script RemoveADobjects, решающий следующие задачи:
1. Контроль над учётными записями сотрудников ГПХ.
2. Контроль над учётными записями сотрудниц, ушедших в декрет.
3. Контроль над неразмещёнными учётными записями компьютеров.
При присоединении компьютера к домену, учётная запись компьютера попадает в
контейнер по умолчанию, на который не распространяются политики. Такая
учётная запись компьютера называется не размещённой.
4. Контроль над неактивными учётными записями пользователей.
5. Контроль над отключёнными учётными записями пользователей.
6. Контроль над неактивными учётными записями компьютеров.
Функции script RemoveADobjects:
7. Отключение и перемещение учётных записей компьютеров, не размёщенных
более 6 дней.
8. Отключение и перемещение в контейнер Obsolete учётных записей компьютеров,
не используемых более 120 дней.
9. Увольнение учётных записей пользователей, не используемых более 60 дней.
10. Удаление учётных записей пользователей и компьютеров, не используемых более
150 дней.
2.3. Описание алгоритма работы script RemoveADobjects.
Начало
Поиск в AD
M=6
К=120
Z=150
N=60
НЕ активен N
Дней?
ДА
Перенос
Personal Data
Пользователь
Пользователь
или компьютер
Компьютер
ДА
Находится в
карантинном
OU домена?
НЕТ
Не активен K
Дней?
ДА
Отключение
объекта AD и
перемещение в
OU Obsolete
Не активен Z Дней &
находится в Obsolete?
ДА
Удаление
объекта из
AD
Конец
Рис.3 – Алгоритм работы script RemoveADobjects.
Больше M
Дней?
ДА