IT 应如何处理用户终止

终止雇佣关系以及接纳新员工是每个组织的一个持续过程。人们被解雇、退出/辞职、找到替代者——这是一个永无止境的故事。 IT 部门等必须处理帐户删除以及与员工流动相关的其他操作。

在完美的世界中，将会有一个非常具体的检查列表来处理用户帐户删除，因此这样的情况不会成为问题。但我们的世界并不完美，所以总有时间和地点进行讨论和分享经验。例如，我们在 Spiceworks 上偶然发现了一个帖子，其中有几十名系统管理员讲述了他们的故事（大多是令人不愉快的故事）。我们总结了该主题，以便您可以获得总体印象，并可能学到一两个在您的工作场所实施的技巧。

在讨论中，几位自豪的系统管理员似乎吹嘘他们的流程运行得多么顺利。总是有一个文档——一个检查清单或某种工作流程。 IT 部门会及时收到通知，并有足够的时间来完成任务。处理用户终止的平均检查列表如下所示：

1. HR 通知 IT 部门（请求通过电子邮件发送并作为帮助台票证提出）
2. 帐户被禁用，密码被重置并移动到 Active Directory 中的特定 OU（可以命名为“隔离”、“防火墙/安全”、“待合并”等）
3. 会员资格和 ERP 访问权限已删除
4. 用户的登录信息已从 OWA 中清除，以完全防止访问旧电子邮件地址
5. 检查硬件登记并将笔记本电脑或 PC 收回库存
6. 电话注册已检查并删除/重新分配
7. 钥匙卡已收回并重新分配

其他流行的做法包括填写并提交一份离职表格，其中包含以下信息：何时切断访问权限、在何处放置设备、需要哪些备份（磁带、DVD 等）以及是否应将电子邮件转发给 HR或经理。仅撤销入职文件也可以是处理此案的简单方法。您应该记住将前用户邮箱中的电子邮件及其文件存档，但这可以在 30 到 90 天内完成，具体取决于职位。

一些 IT 专业人员建议始终先更改密码，而其他人则认为这不会解决远程访问问题，因为凭据是按系统而不是按用户缓存的。您只能通过将邮箱移至其他服务器或在前端执行 iisreset 来立即禁用远程访问。这意味着，IT 管理员最好（如果不是强制性的）提前了解终止并有一些空闲时间。通常情况下，政策规定应立即（如果是非自愿的）或在员工发出通知后立即通知 IT 部门有关终止合同的信息。如果提前两周通知，访问权限可能会被限制在完成工作所需的最低限度。许多公司实行的一项重要做法是设定帐户禁用时间（通常是工作最后一天的下午 4 点）。

另一个好的安全实践是使用 PowerShell 脚本，它可以帮助完成一些日常任务：禁用帐户、撤销访问权限、审核资产、将邮箱导出到 PST 文件等等。一些系统管理员开发并使用脚本来更改密码并将电子邮件转发给 HR 确认帐户删除。

然而，生活不是童话。让我们看看系统管理员在删除用户方面面临的障碍。最常见的抱怨是没有人通知 IT。这意味着，没有帮助台票证，没有来自人力资源部或经理的电子邮件——完全沉默。有时，消息到达部门后不久，IT 人员就会发现有人失踪了一段时间，而这段时间可能长达六个月。其他时候，IT 人员会从同事那里随机听到一些信息，然后发现自己是最后一个知道的。这有什么坏处呢？首先，前雇员仍然可以从家庭或移动设备访问系统、删除电子邮件和文件夹、窃取数据，并且如果他或她与公司关系不佳，则可以使用这些数据来对付前雇主。而这种情况实际上已经发生过很多次了。这是一个重大的安全威胁，可能会因业务连续性中断以及诉讼而导致组织声誉受损和财务损失。

为防止这种情况发生，公司应实施严格的用户终止政策，并且该政策不应完全由 IT 部门承担。这里的关键因素是时间：通知越早到达越好。您可以使用本文中提供的提示或提出更适合您的环境的表单。无论哪种方式，禁用内部访问都是不够的：您不应该忘记锁定远程访问。

如需更多提示，您可以阅读 Spiceworks 上的完整帖子。