У меня уже есть процедуры для удаления пользователя из нашего домена, когда он покидает свою роль. Во многих случаях это так же просто, как удалить пользователя из AD.
Должен ли я пойти дальше, например, удалив их пользовательскую папку на своем ПК?
Я прогуглил «пользователя Windows снятия с эксплуатации», но, похоже, нет документации или рекомендаций ...
Частично это юридический или кадровый вопрос. Пользователь ушел в хороших отношениях или под облаком подозрений? Нужны ли другим пользователям, занимающим их роль, доступ к файлам? Причастна ли электронная почта, и если да, то может ли она стать предметом судебного разбирательства? В крайнем случае, может ли удаление их файлов рассматриваться как уничтожение улик? Это не технические проблемы.
С технической стороны, отключение учетной записи (даже не удаление) обычно блокирует доступ. Я должен сказать "большинство", потому что в сегодняшнем мобильном, связанном мире есть много вещей, которые кэшируются и синхронизируются. Пользователь может использовать кэшированные учетные данные для входа на компьютер, который отключен от сети.
Одна важная техническая проблема, о которой следует знать, это то, что ActiveSync (наиболее распространенный способ доступа телефонов к Exchange для телефонов) может разрешить доступ к почтовому ящику после отключения учетной записи. (См. Https://blogs.technet.microsoft.com/messaging_with_communications/2012/06/26/part-i-disabled-accounts-and-activesync-devices-continuing-to-sync/)
В случаях "срочного увольнения" я бы порекомендовал иметь контрольный список (который затем можно записать в сценарии), который охватывает все технические и ручные действия, которые вы (отдел ИТ) и другие (такие как HR, физическая безопасность и т.д.) нужно делать, если кто-то внезапно покидает компанию. Этот контрольный список может быть затем проверен и утвержден руководством или юридическим органом. Некоторые отправные точки находятся в этом блоге от Джо Шеффера.
Вы можете искать такие темы, как "Контрольный список завершения" для образцов.
