Já tenho procedimentos em vigor para remover um usuário de nosso domínio quando ele deixa sua função. Em muitos casos, é tão simples quanto remover o usuário do AD.
Devo ir mais longe, por exemplo, excluindo a pasta de usuário do PC?
Pesquisei 'Desativar usuário do Windows' no Google, mas não parece haver nenhuma documentação ou práticas recomendadas ...
Responder1
Parte disso é uma questão jurídica ou de recursos humanos. O usuário saiu em boas condições ou sob uma nuvem de suspeita? Outros usuários que assumem sua função precisam de acesso aos arquivos? O e-mail está envolvido e, em caso afirmativo, está sujeito a possíveis litígios? Em um caso extremo, a exclusão de seus arquivos poderia ser considerada destruição de provas? Esses não são problemas técnicos.
Do lado técnico, desabilitar a conta (nem mesmo excluí-la) geralmente bloqueará a maior parte do acesso. Devo dizer “a maioria” porque no mundo móvel e conectado de hoje há muitas coisas sendo armazenadas em cache e sincronizadas. O usuário pode usar credenciais armazenadas em cache para fazer login em um computador desconectado de uma rede.
Um importantetécnicoUm problema a ter em conta é que o ActiveSync (a forma mais comum de os telefones acederem ao Exchange) pode permitir o acesso à caixa de correio depois de a conta ser desativada. (Verhttps://blogs.technet.microsoft.com/messaging_with_communications/2012/06/26/part-i-disabled-accounts-and-activesync-devices-continuing-to-sync/)
Em casos de "demissão urgente", recomendo ter uma lista de verificação (que pode então ser escrita) que cubra todas as etapas técnicas e manuais que você (o departamento de TI) e outros (pessoas como RH, segurança física, etc.) ) precisa ser feito se alguém sair da empresa repentinamente. Essa lista de verificação também pode ser examinada e aprovada pela administração ou pelo departamento jurídico. Alguns pontos de partida estão naquele blog de Joe Schaeffer.
Você pode pesquisar tópicos como "Lista de verificação de rescisão" para obter exemplos.