Benutzer scheidet aus
Neben dem Neuanlegen und verändern von Benutzern kommt es natürlich auch immer wieder vor, dass Anwender das unternehmen dauerhaft oder temporär verlassen und Sie als Administrator die Nutzung des Kontos unterbinden sollen.
Beachten Sie dazu auch die Seite Exit-Management
Checkliste: Microsoft 365 Offboarding-Prozess ohne Datenverlust
https://www.netatwork.de/checkliste-microsoft-365-offboarding-prozess-ohne-datenverlust/
Der erste Gedanke ist hierbei natürlich einfach den Benutzer zu deaktivieren. Aber das ist zu kurz gedacht, da Exchange "deaktiviere Benutzer" besonders behandelt. Daher müssen wir uns was anderes überlegen. Dazu gilt es aber erst einige Fragen zu beantworten:
- Temporär oder permanent
Ist der Anwender nur für einige Zeit nicht erreichbar (z.B. Mutterschutz) - Nur keine Mailbox mehr oder wirklich auch das Konto löschen
Wird der Benutzer gelöscht, dann geht damit auch die SID und alle bisherigen Berechtigungen und eventuell Zertifikate verloren. - Löschen und trotzdem SID und Zertifikate behalten?
Möchten Sie das Benutzerkonto erhalten, darf sich aber niemand mehr damit anmelden können. - Postfach löschen, temporär behalten oder später manuell löschen
Wird ein Active Directory Konto gelöscht, dann löscht Exchange nach der eingestellten Zeit auch die Mails. Ist das gewollt oder wollen Sie vorher die Inhalte sichern? - Mails an bisherige Mailadresse
Was passiert mit Nachrichten an die Mailadresse. Einfach als "Unzustellbar" abweisen oder an jemand anderes weitergeben? - Verteilermitgliedschaften
Eine Person ist meist auch in Verteilerlisten und wird so ein Konto einfach deaktiviert, dann erhalten Sender von Nachrichten an den Verteiler eine Fehlermeldung. - Public Folder
Was passiert mit den Berechtigungen auf öffentliche Ordner, wenn der Benutzer gelöscht wird ? Bleibt der Ordner "verwaltbar", wenn der fragliche Anwender der alleinige Besitzer war? - Auditing
Vielleicht möchten Sie das Konto behalten, um auch später einmal nachvollziehen zu können, welche Berechtigungen dieser Benutzer hatte oder welche Diente er genutzt hat.
Wenn Sie den Benutzer nicht sofort löschen wollen, dann müssen Sie also sicherstellen, dass niemand sich mehr mit diesem Benutzer in ihrem Netzwerk anmelden kann und optional sollten Sie unterbinden, dass überhaupt noch Nachrichten an dieses Postfach gelangen, die niemand mehr liest.
Warum nicht einfach deaktivieren ?
Es könnte so einfach sein, wenn Sie als Administrator einfach ein Benutzerkonto deaktivieren könnten. Das Problem hierbei ist, dass Exchange einen deaktivierten Benutzer als "Platzhalter" betrachtet, dem ein anderes Benutzerkonto aus einem anderen Forrest oder einer vertrauten NT4-Domäne zugewiesen ist. Diese Information steht in einem besonderen Feld (siehe MSXFAQ.DE:LinkedMailbox, Exchange 2000 mit Windows NT4 und Exchange 2000/2003 Disabled Account. Insofern müssen Sie beim Einsatz von Exchange etwas genauer ihre Anforderungen spezifizieren.
Was kann ich und und wie wirkt es sich aus?
Hinweis:
Je nach Exchange Version kann sich das Verhalten ändern. Ab
Exchange 2007 kann ein deaktiviertes Konto dennoch wieder
Post empfangen.
Aktion | Ergebnis |
---|---|
Benutzer wird deaktiviert |
|
Benutzer wird deaktiviert und SELF wird externer Account |
|
Benutzer wird "expired" |
|
Kennwort wird geändert |
|
Benutzerkonto wird gelöscht |
|
Benutzer wird "nur" Exchange disabled und dann deaktiviert |
Siehe "Benutzerkonto wird gelöscht. Zusätzlich:
|
Nur Entfernen aus Verteilern |
|
Zustellbeschränkungen im Postfach eintragen |
|
Postfachlimit auf 0 Bytes stellen |
|
Konto aussperren |
|
Natürlich können Sie mehrere Dinge parallel machen, z.B. das Kennwort eines Kontos ändern und es zugleich verfallen lassen und deaktivieren. Diese Auswirkungen dieser Mehrfachoptionen habe ich nicht aufgeführt. Wenn Sie das Konto nicht löschen, sollten Sie sich natürlich trotzdem
Denken Sie daran, dass ein Entfernen eines Postfachs zwar den Benutzer nicht mehr erreichbar macht, aber z.B.: Stellvertreter oder Weiterleitungen durch Regeln anderer Benutzer an dieses Postfach nicht außer Kraft setzt und damit Absender immer noch unzustellbarkeiten erhalten können. Auch ist es nicht möglich, Einladungen dieses Benutzers zu Terminen an andere Benutzer zu übertragen.
Was ist nun der beste Weg ?
Es gibt nicht den besten Weg aber einige Favoriten:
- Benutzer löschen
Das ist sicherlich der einfachste und klare Weg. Wenn Sie die Mails noch benötigen, können Sie diese mit EXMERGE in eine PST-Datei exportieren. Durch das Löschen kann sich der Benutzer nicht mehr anmelden, die Mailadresse wird frei, der Benutzer wird aus Verteilern entfernt und fast alle Probleme sind quasi nicht mehr vorhanden. - Benutzer deaktivieren und "SELF" Addieren
Damit wird eine Anmeldung an das Netzwerk unterbunden aber alle Exchange Funktionen bleiben erhalten und es ist sehr einfach zu erkennen, dass das Konto "Deaktiviert" ist. - Kennwort ändern oder Konto "ablaufen" lassen
Gerade das "Verfallsdatum" ist sehr elegant, um Konto rechtzeitig zu sperren.
Denken Sie daran, wenn Sie den Benutzer nicht "Mail disablen", dann sollten Sie das Postfach "verbergen" und vielleicht auch mit den Empfangsbeschränkungen sicherstellen, dass keine Mails in dieses Postfach gesendet werden können. Dann müssen Sie ihn aber auch aus Verteilern entfernen, da sonst Mails an den Verteiler eine NDR erzeugen. Alternative wäre. ,über eine Regel jede Mail an solche ein Postfach an jemanden anders weiter zu leiten.
Letztlich obliegt es aber ihnen, wie Sie damit umgehen, wenn ein Anwender nicht mehr arbeiten darf und die Daten in Exchange weiter genutzt werden.
Weitere Links
- Exit-Management
- Benutzermanagement im Active Directory
- Exchange 2000/2003 Disabled Account
- AddSelf
- Unzustellbarkeiten
- Exchange 2000 mit Windows NT4
- Q278888 XADM: Associate an Exchange 2000 Mailbox with a Windows NT User
- How to work with Inactive Mailboxes
https://blogs.technet.microsoft.com/exchange/2019/01/29/how-to-work-with-inactive-mailboxes/ - Fix available to alleviate event ID 9548
http://msexchangeteam.com//archive/2006/03/22/422799.aspx - How to deal with Users leaving the Organization
http://msexchangeteam.com//archive/2006/02/17/419848.aspx - De-Provision O365 Users with Cloudbridge
https://www.youtube.com/watch?v=XAEiwgiYPKg