Difference between revisions of "Акаунти в Активна Директория на напуснали служители"
From Ilianko
(6 intermediate revisions by the same user not shown) | |||
Line 3: | Line 3: | ||
"Каква е практиката? Веднага ли им изтриваш членството в групи или изчакваш известно време?" | "Каква е практиката? Веднага ли им изтриваш членството в групи или изчакваш известно време?" | ||
+ | - Да | ||
Не съм го изследвал, но мисля че е добра практика. | Не съм го изследвал, но мисля че е добра практика. | ||
Line 10: | Line 11: | ||
**Ако има важно писмо то ще е в целия кюп | **Ако има важно писмо то ще е в целия кюп | ||
− | *(Security groups ) Грешна практика е на нов колега да се присвояват същите права като на стария ( на този му дайте права, като на оня ). Цикличният одит на правата е задължителен!!! Затова права на ресурси се дават само на групи | + | *(Security groups ) Грешна практика е на нов колега да се присвояват същите права като на стария ( на този му дайте права, като на оня ). Цикличният одит на правата е задължителен!!! Затова права на ресурси се дават само на групи и когато напуска се изтрива членството, а на новият служител постепенно му се дават правата, необходими за изпълнение на служебните му задължения. |
− | В този ред на мисли, не съм попадал на процедура за заявка на права върху ресурс, всичко е на устна договорка😊 | + | <span style=color:white>В този ред на мисли, не съм попадал на процедура за заявка на права върху ресурс, всичко е на устна договорка😊 </span> |
*Единственият недостатък е ако не знаем с какво се е занимавал колегата… | *Единственият недостатък е ако не знаем с какво се е занимавал колегата… | ||
− | + | <pre style="background:#012456; color:white> | |
− | c:/>$name = | + | c:/> $name = "ImeNaAccount" |
c:/> Get-ADPrincipalGroupMembership $name | ForEach-Object { Remove-ADGroupMember -Identity $_.name -Members $name} | c:/> Get-ADPrincipalGroupMembership $name | ForEach-Object { Remove-ADGroupMember -Identity $_.name -Members $name} | ||
− | </pre | + | </pre> |
Latest revision as of 10:54, 18 November 2022
Премахване членство в групи
"Каква е практиката? Веднага ли им изтриваш членството в групи или изчакваш известно време?" - Да
Не съм го изследвал, но мисля че е добра практика.
- (Distribution Groups) Когато се деактивира акаунт, който членува в няколко вътрешни мейлинг листи, той получава копия на писма, които се получават и от други.
- Пощата се пълни и няма кой да трие
- Ако има важно писмо то ще е в целия кюп
- (Security groups ) Грешна практика е на нов колега да се присвояват същите права като на стария ( на този му дайте права, като на оня ). Цикличният одит на правата е задължителен!!! Затова права на ресурси се дават само на групи и когато напуска се изтрива членството, а на новият служител постепенно му се дават правата, необходими за изпълнение на служебните му задължения.
В този ред на мисли, не съм попадал на процедура за заявка на права върху ресурс, всичко е на устна договорка😊
- Единственият недостатък е ако не знаем с какво се е занимавал колегата…
c:/> $name = "ImeNaAccount" c:/> Get-ADPrincipalGroupMembership $name | ForEach-Object { Remove-ADGroupMember -Identity $_.name -Members $name}