什么是取消配置？ - Netwrix 博客

IT 生态系统中的每个用户（包括员工和顾问、培训师、审计员和承包商等第三方）都需要获得其工作所需的数据和系统的访问权限。在大多数情况下，这些 IT 资源涉及敏感信息和应用程序，例如电子邮件、客户数据库以及 ERP 或 CRM 系统。

因此，当有人离开组织时，必须立即取消配置其帐户，以便前员工或破坏其帐户的对手都无法访问组织的 IT 资源。本文详细介绍了在 Active Directory (AD)、Entra ID（以前称为 Azure AD）和 Microsoft 365 中手动取消预配用户所需执行的步骤。然后，它解释了自动取消预配的好处，并提供了一种软件解决方案，该解决方案不仅可以自动取消预配，还可以自动取消预配。用户生命周期管理。

如何在 AD、Entra ID 和 Microsoft 365 中取消配置帐户

在 Active Directory 中取消配置用户

在 Active Directory 中取消配置通常涉及以下部分或全部步骤：

• 禁用用户的 Active Directory 帐户。
• 从所有组中删除用户帐户。
• 将帐户移动到为禁用用户指定的 OU。
• 删除用户帐户。

完成这些步骤的最有效方法是使用 PowerShell。以下是您可以使用的脚本。

禁用 AD 用户帐户

Disable-ADAccount -Identity “SAMaccountName of the user”

从所有组中删除用户帐户

#import the Active Directory module if not already up and loaded

$module = Get-Module | Where-Object {$_.Name -eq 'ActiveDirectory'}

if ($module -eq $null) {

 Write-Host "Loading Active Directory PowerShell Module"

 Import-Module ActiveDirectory -ErrorAction SilentlyContinue

 }

$employeeSAN = Read-Host "Enter employee login/alias/SamAccountName "

$adServer = "adserver.yourcompany.com"

try{

 Get-ADUser -Identity $employeeSAN -Server $adServer

 #if that doesn't throw you to the catch this person exists. So you can continue

 $ADgroups = Get-ADPrincipalGroupMembership -Identity $employeeSAN | where {$_.Name -ne "Domain Users"}

 if ($ADgroups -ne $null){

 Remove-ADPrincipalGroupMembership -Identity $employeeSAN -MemberOf $ADgroups -Server $adServer -Confirm:$false

 }

}#end try

catch{

 Write-Host "$employeeSAN is not in AD"

}

将用户帐户移至特定 OU

Move-ADObject -TargetPath "distinguishedName of the target OU"

删除用户帐户

Remove-ADUser -Identity "sAMAccountName of the User”

在 Entra ID 或 Microsoft 365 中取消配置用户

要取消配置云用户，请执行以下步骤：

1. 停用或禁用该帐户。
2. 从所有组中删除该用户。
3. 从帐户属性中删除所有许可证，以便可以将它们重新分配给其他用户。
4. 删除帐户。

使一个用户的电子邮件可供其他用户使用

要使其他人（例如他们的经理）可以使用已禁用用户帐户的电子邮件数据，您可以执行以下任一操作：

• 将数据导出到 .pst 文件并将其导入到另一个电子邮件帐户。
• 将用户的邮箱转换为共享邮箱并为其分配不同的所有者。

手动与自动取消配置

如上所述手动取消配置用户既耗时又容易出现人为错误。事实上，依赖手动流程会增加用户离开组织时无法立即取消配置帐户的可能性，或者更糟糕的是，该任务将被完全忘记或忽略。因此，充满权限的孤立帐户将累积在目录中。这些帐户可以使前员工继续访问您组织的数据和系统，并且很容易被想要融入正常网络活动的攻击者接管。

自动取消配置可提高安全性，同时减少 IT 团队的工作量。取消配置解决方案连接到 HR 系统，并根据定义的规则取消配置选定的用户。它可以在短短几分钟内执行取消配置过程中的所有步骤，例如禁用帐户并撤销其对 IT 资源的访问权限。

使用 Netwrix GroupID 自动取消配置

Netwrix GroupID 自动执行取消配置用户的过程。您只需创建一个同步作业并安排它以所需的频率运行。假设您希望自动禁用 HR 数据库中被终止的任何人的用户帐户。以下是该作业的设置：

• 数据源和目标：选择 HR 数据库作为源，选择 Active Directory 作为目标。
• 要取消配置的对象类型：Netwrix GroupID 可以取消配置多种类型的 Active Directory 对象，包括用户、联系人、启用邮件的用户、启用邮箱的用户和启用邮件的联系人。
• 禁用订阅：您可以选择让取消配置作业禁用启用邮箱的用户的所有 Office 365 和 G Suite 订阅。
• 数据同步字段：指定作业运行时要在目的地更新的字段或对象属性，例如用户的部门、职位或电话号码。
• 转换：转换在将源数据保存到目标之前对源数据进行操作。例如，您可以将两个源字段的值组合到一个目标字段中，或者将字符串常量分配给目标字段，而不管源限制如何。例如，您可以更新“说明”字段以指示终止用户的日期。

创建多个取消配置作业

使用 Netwrix GroupID，您可以创建多个取消配置作业，这些作业会自动按顺序运行以取消配置各个系统中的用户帐户。例如，您可以创建以下三个作业：

• 从 HR Excel 工作簿读取终止用户列表并禁用（或删除）Active Directory 中相应帐户的作业。
• 第二个作业使用更新的 Active Directory 记录来禁用（或删除）ERP 数据库中的相应帐户。
• 第三个作业使用更新的 AD 撤销另一个目标（例如 Novell 目录服务器或 Open LDAP 目录服务器）的用户权限。

作业所做的所有更改都会被记录下来，以确保责任并促进故障排除。

Netwrix GroupID 的其他优势

Netwrix GroupID 不仅仅是一个取消配置工具；它是一种身份和访问管理 (IAM) 解决方案，可帮助自动执行各种用户生命周期管理任务，包括：

• 入职期间在 Active Directory 和其他企业应用程序中进行用户配置
• 当用户在组织内改变角色时，轻松准确地重新配置用户
• 当用户离开组织时撤销访问权限
• 管理 Active Directory 组和组成员身份

结论

及时取消配置离开组织的用户对于安全性和合规性至关重要。手动取消配置过程非常繁琐并且很容易出错。

使用 Netwrix GroupID 等解决方案自动执行取消配置过程，可确保每当员工离开时，他们的帐户都会被禁用，并且他们对所有连接应用程序的访问权限都会自动删除。此外，Netwrix GroupID 可帮助您正确管理整个用户生命周期。因此，组织可以减少 IT 工作负载和成本，同时降低孤立帐户被用于非法访问敏感数据和其他 IT 资源的风险。

常问问题

什么是用户取消配置？

用户取消配置是删除用户帐户并系统地撤销其对 IT 系统、应用程序和数据的访问权限的过程。这是根据安全性和合规性要求管理用户生命周期的关键步骤。

用户取消配置可以手动完成，但 Netwrix GroupID 等工具可以自动执行该过程，从而减少 IT 工作负载和代价高昂的错误风险。

取消配置的示例是什么？

取消配置的一个示例是禁用前员工的 Active Directory 用户帐户，将其从所有安全组中删除，并将其移动到禁用用户的 OU。此过程可确保用户失去对组织资源的访问权限。

取消配置帐户和删除帐户有什么区别？

删除用户帐户会将其从目录中永久删除。取消配置的目的是撤销帐户对 IT 资源的访问权限，因此可能涉及删除帐户或简单地禁用帐户并删除其所有访问权限。