Difference between revisions of "Акаунти в Активна Директория на напуснали служители"

From Ilianko
Line 15: Line 15:
 
*Единственият недостатък е ако не знаем с какво се е занимавал колегата…   
 
*Единственият недостатък е ако не знаем с какво се е занимавал колегата…   
  
<code><pre style="background:#012456; color:white>
+
<pre style="background:#012456; color:white>
 
c:/> $name = “ImeNaAccount”
 
c:/> $name = “ImeNaAccount”
 
c:/> Get-ADPrincipalGroupMembership $name | ForEach-Object { Remove-ADGroupMember -Identity $_.name -Members $name}
 
c:/> Get-ADPrincipalGroupMembership $name | ForEach-Object { Remove-ADGroupMember -Identity $_.name -Members $name}
 
</pre></code>
 
</pre></code>

Revision as of 09:36, 18 November 2022

Премахване членство в групи

"Каква е практиката? Веднага ли им изтриваш членството в групи или изчакваш известно време?"

Не съм го изследвал, но мисля че е добра практика.

  • (Distribution Groups) Когато се деактивира акаунт, който членува в няколко вътрешни мейлинг листи, той получава копия на писма, които се получават и от други.
    • Пощата се пълни и няма кой да трие
    • Ако има важно писмо то ще е в целия кюп
  • (Security groups ) Грешна практика е на нов колега да се присвояват същите права като на стария ( на този му дайте права, като на оня ). Цикличният одит на правата е задължителен!!! Затова права на ресурси се дават само на групи, и когато напуска се изтрива членството, а на новият служител постепенно му се дават правата, необходими за изпълнение на служебните му задължения.

В този ред на мисли, не съм попадал на процедура за заявка на права върху ресурс, всичко е на устна договорка😊

  • Единственият недостатък е ако не знаем с какво се е занимавал колегата…
c:/> $name = “ImeNaAccount”
c:/> Get-ADPrincipalGroupMembership $name | ForEach-Object { Remove-ADGroupMember -Identity $_.name -Members $name}