Difference between revisions of "Акаунти в Активна Директория на напуснали служители"
From Ilianko
| Line 16: | Line 16: | ||
<code><pre style="background:#012456; color:white> | <code><pre style="background:#012456; color:white> | ||
| − | c:/>$name = “ImeNaAccount” | + | c:/> $name = “ImeNaAccount” |
c:/> Get-ADPrincipalGroupMembership $name | ForEach-Object { Remove-ADGroupMember -Identity $_.name -Members $name} | c:/> Get-ADPrincipalGroupMembership $name | ForEach-Object { Remove-ADGroupMember -Identity $_.name -Members $name} | ||
</pre></code> | </pre></code> | ||
Revision as of 09:33, 18 November 2022
Премахване членство в групи
"Каква е практиката? Веднага ли им изтриваш членството в групи или изчакваш известно време?"
Не съм го изследвал, но мисля че е добра практика.
- (Distribution Groups) Когато се деактивира акаунт, който членува в няколко вътрешни мейлинг листи, той получава копия на писма, които се получават и от други.
- Пощата се пълни и няма кой да трие
- Ако има важно писмо то ще е в целия кюп
- (Security groups ) Грешна практика е на нов колега да се присвояват същите права като на стария ( на този му дайте права, като на оня ). Цикличният одит на правата е задължителен!!! Затова права на ресурси се дават само на групи, и когато напуска се изтрива членството, а на новият служител постепенно му се дават правата, необходими за изпълнение на служебните му задължения.
В този ред на мисли, не съм попадал на процедура за заявка на права върху ресурс, всичко е на устна договорка😊
- Единственият недостатък е ако не знаем с какво се е занимавал колегата…
c:/> $name = “ImeNaAccount”
c:/> Get-ADPrincipalGroupMembership $name | ForEach-Object { Remove-ADGroupMember -Identity $_.name -Members $name}
