Benutzer scheidet aus

Neben dem Neuanlegen und verändern von Benutzern kommt es natürlich auch immer wieder vor, dass Anwender das unternehmen dauerhaft oder temporär verlassen und Sie als Administrator die Nutzung des Kontos unterbinden sollen.

Checkliste: Microsoft 365 Offboarding-Prozess ohne Datenverlust
https://www.netatwork.de/checkliste-microsoft-365-offboarding-prozess-ohne-datenverlust/

Der erste Gedanke ist hierbei natürlich einfach den Benutzer zu deaktivieren. Aber das ist zu kurz gedacht, da Exchange "deaktiviere Benutzer" besonders behandelt. Daher müssen wir uns was anderes überlegen. Dazu gilt es aber erst einige Fragen zu beantworten:

  • Temporär oder permanent
    Ist der Anwender nur für einige Zeit nicht erreichbar (z.B. Mutterschutz)
  • Nur keine Mailbox mehr oder wirklich auch das Konto löschen
    Wird der Benutzer gelöscht, dann geht damit auch die SID und alle bisherigen Berechtigungen und eventuell Zertifikate verloren.
  • Löschen und trotzdem SID und Zertifikate behalten?
    Möchten Sie das Benutzerkonto erhalten, darf sich aber niemand mehr damit anmelden können.
  • Postfach löschen, temporär behalten oder später manuell löschen
    Wird ein Active Directory Konto gelöscht, dann löscht Exchange nach der eingestellten Zeit auch die Mails. Ist das gewollt oder wollen Sie vorher die Inhalte sichern?
  • Mails an bisherige Mailadresse
    Was passiert mit Nachrichten an die Mailadresse. Einfach als "Unzustellbar" abweisen oder an jemand anderes weitergeben?
  • Verteilermitgliedschaften
    Eine Person ist meist auch in Verteilerlisten und wird so ein Konto einfach deaktiviert, dann erhalten Sender von Nachrichten an den Verteiler eine Fehlermeldung.
  • Public Folder
    Was passiert mit den Berechtigungen auf öffentliche Ordner, wenn der Benutzer gelöscht wird ? Bleibt der Ordner "verwaltbar", wenn der fragliche Anwender der alleinige Besitzer war?
  • Auditing
    Vielleicht möchten Sie das Konto behalten, um auch später einmal nachvollziehen zu können, welche Berechtigungen dieser Benutzer hatte oder welche Diente er genutzt hat.

Wenn Sie den Benutzer nicht sofort löschen wollen, dann müssen Sie also sicherstellen, dass niemand sich mehr mit diesem Benutzer in ihrem Netzwerk anmelden kann und optional sollten Sie unterbinden, dass überhaupt noch Nachrichten an dieses Postfach gelangen, die niemand mehr liest.

Warum nicht einfach deaktivieren ?

Es könnte so einfach sein, wenn Sie als Administrator einfach ein Benutzerkonto deaktivieren könnten. Das Problem hierbei ist, dass Exchange  einen deaktivierten Benutzer als "Platzhalter" betrachtet, dem ein anderes Benutzerkonto aus einem anderen Forrest oder einer vertrauten NT4-Domäne zugewiesen ist. Diese Information steht in einem besonderen Feld (siehe MSXFAQ.DE:LinkedMailbox, Exchange 2000 mit Windows NT4 und Exchange 2000/2003 Disabled Account. Insofern müssen Sie beim Einsatz von Exchange etwas genauer ihre Anforderungen spezifizieren.

Was kann ich und und wie wirkt es sich aus?

Hinweis:
Je nach Exchange Version kann sich das Verhalten ändern. Ab Exchange 2007 kann ein deaktiviertes Konto dennoch wieder Post empfangen.

Aktion Ergebnis

Benutzer wird deaktiviert

  • Benutzer kann sich nicht mehr anmelden
  • Mails sind "unzustellbar"
    Nur bis Exchange 2003. Ab Exchange 2007 werden Mails weiter zugestellt
  • Mails an Verteiler bekommen Unzustellbarkeit
  • 9548 Eventlogmeldung im Server
  • Mailbox bleibt bestehen
  • Mailadresse wird NICHT frei, wenn nicht von Hand entfernt
  • Benutzer taucht in der GAL auf, wenn nicht versteckt
  • KEIN Zugriff für Stellvertreter möglich
  • kann reaktiviert werden

Benutzer wird deaktiviert und SELF wird externer Account

  • Benutzer kann sich nicht mehr anmelden
  • Mails landen im toten Postfach
  • keine 9548 Eventlogmeldung im Server
  • Mailbox bleibt bestehen
  • Mailadresse wird NICHT frei, wenn nicht von Hand entfernt
  • Benutzer taucht in der GAL auf, wenn nicht versteckt
  • kann reaktiviert werden

Benutzer wird "expired"

  • Benutzer kann sich nicht mehr anmelden
    ideal um einen Benutzer zu einem bestimmten Zeitpunkt zu sperren
  • Mails landen im toten Postfach
  • Zugriff für Stellvertreter weiterhin möglich.

Kennwort wird geändert

  • Benutzer kann sich nicht mehr anmelden
  • Mails landen im toten Postfach

Benutzerkonto wird gelöscht

  • SID und Zertifikate gehen verloren
  • Postfach wird nach 30 Tagen gelöscht
    d.h. danach auch keine Regeln, Weiterleitungen, Stellvertreter mehr
  • Mails sind sofort nicht zustellbar
  • Mitgliedschaften in Verteilerlisten entfallen
  • Mailadresse wird für weitere Verwendung frei

Benutzer wird "nur" Exchange disabled und dann deaktiviert

Siehe "Benutzerkonto wird gelöscht. Zusätzlich:

  • Kann einfach für die Anameldung reaktiviert werden.
  • Kann erneut Exchange "enabled" werden
  • Verteilermitgliedschaften bleiben erhalten

Nur Entfernen aus Verteilern

  • Mitgliedschaft muss später wieder hergestellt werden
  • Mail an das Postfach weiter möglich
  • Keine NDRs bei Mails an die Verteiler

Zustellbeschränkungen im Postfach eintragen

  • direkte Mails und über Verteiler an das Postfach werden mit "keine Rechte" abgelehnt
  • Stellvertreterzugriff weiter möglich
    Möglichkeit zur Änderung von Inhalten

Postfachlimit auf 0 Bytes stellen

  • direkte Mails und über Verteiler an das Postfach werden mit "Mailbox voll" abgelehnt
  • Stellvertreterzugriff weiter möglich, aber können keine neuen Elemente mehr anlegen oder ändern. Löschen ist weiter möglich.

Konto aussperren

  • Nur temporäre Lösung, da nach Ablauf der Zeit das Konto wieder genutzt werden kann

Natürlich können Sie mehrere Dinge parallel machen, z.B. das Kennwort eines Kontos ändern und es zugleich verfallen lassen und deaktivieren. Diese Auswirkungen dieser Mehrfachoptionen habe ich nicht aufgeführt. Wenn Sie das Konto nicht löschen, sollten Sie sich natürlich trotzdem

Denken Sie daran, dass ein Entfernen eines Postfachs zwar den Benutzer nicht mehr erreichbar macht,  aber z.B.: Stellvertreter oder Weiterleitungen durch Regeln anderer Benutzer an dieses Postfach nicht außer Kraft setzt und damit Absender immer noch unzustellbarkeiten erhalten können. Auch ist es nicht möglich, Einladungen dieses Benutzers zu Terminen an andere Benutzer zu übertragen.

Was ist nun der beste Weg ?

Es gibt nicht den besten Weg aber einige Favoriten:

  • Benutzer löschen
    Das ist sicherlich der einfachste und klare Weg. Wenn Sie die Mails noch benötigen, können Sie diese mit EXMERGE in eine PST-Datei exportieren. Durch das Löschen kann sich der Benutzer nicht mehr anmelden, die Mailadresse wird frei, der Benutzer wird aus Verteilern entfernt und fast alle Probleme sind quasi nicht mehr vorhanden.
  • Benutzer deaktivieren und "SELF" Addieren
    Damit wird eine Anmeldung an das Netzwerk unterbunden aber alle Exchange Funktionen bleiben erhalten und es ist sehr einfach zu erkennen, dass das Konto "Deaktiviert" ist.
  • Kennwort ändern oder Konto "ablaufen" lassen
    Gerade das "Verfallsdatum" ist sehr elegant, um Konto rechtzeitig zu sperren.

Denken Sie daran, wenn Sie den Benutzer nicht "Mail disablen", dann sollten Sie das Postfach "verbergen" und vielleicht auch mit den Empfangsbeschränkungen sicherstellen, dass keine Mails in dieses Postfach gesendet werden können. Dann müssen Sie ihn aber auch aus Verteilern entfernen, da sonst Mails an den Verteiler eine NDR erzeugen. Alternative wäre. ,über eine Regel jede Mail an solche ein Postfach an jemanden anders weiter zu leiten.

Letztlich obliegt es aber ihnen, wie Sie damit umgehen, wenn ein Anwender nicht mehr arbeiten darf und die Daten in Exchange weiter genutzt werden.

Weitere Links