Implicaciones políticas de cambiar contraseñas en lugar de desactivar cuentas en Active Directory

1

¿Hay alguna guía que indique que la mejor manera de manejar los abandonos es deshabilitar las cuentas (al menos inicialmente) en lugar de cambiar las contraseñas? Dado que AD admite esta opción, asumo que esta es la única forma compatible de deshabilitar a un usuario, pero parece que hay otros trucos para admitir aplicaciones o procesos heredados.

Lo pregunto porque creo que esta es la única forma segura, pero muchas guías y compañías tienden a seguir un enfoque que cambia la contraseña del usuario a algo que no conoce. Creo que otros métodos, como mover una cuenta a una OU que no puede iniciar sesión, son aún más defectuosos.

Históricamente, esto podría haber sido una buena práctica cuando todas las aplicaciones se encontraban en las instalaciones, pero con las aplicaciones en la nube que usan muchas herramientas de sincronización, parece que una cuenta de AD que se deshabilita es el único indicador seguro para las aplicaciones anteriores.

Parece que algunas aplicaciones como las últimas versiones de Outlook con O365 admiten la invalidación de credenciales con ADAL después de restablecer la contraseña, pero dudo que esto sea universal.

    
pregunta Brian Lyttle 23.02.2017 - 18:34
fuente

2 respuestas

2

Usted tiene razón, el proceso ideal de off-boarding sería deshabilitar al usuario. Sin embargo, hay situaciones en las que el usuario tiene datos de la empresa que se encuentran en su perfil personal, ya sea en las instalaciones o en la nube. Dado que los servicios en la nube y en las instalaciones, por lo general, podrían tener algún tipo de depuración de datos del usuario deshabilitado configurado. Prefiere estar en el lado seguro y cambiar la contraseña en lugar de deshabilitar al usuario. Además, incluso con los servicios en la nube, a veces tiene problemas y no puede cambiar al usuario que está a cargo de un determinado proceso o tarea, y lo prefiere. En muchas organizaciones se le pide al gerente de TI que se haga cargo de la cuenta del usuario y que copie los archivos que quedaron en el perfil.

    
respondido por el Igor Liv 23.02.2017 - 19:10
fuente
1

Hacemos ambas cosas: cambiamos la contraseña a algo aleatorio Y deshabilitamos la cuenta.

Deshabilitar es la respuesta "adecuada". Sin embargo, si una cuenta se vuelve a habilitar accidentalmente, usted quiere estar protegido. Incluso podría ser algo inocuo, ya que el antiguo empleado aún tenía configurada la cuenta de correo electrónico de la empresa en su teléfono con una contraseña en caché.

También, he visto algunas aplicaciones de terceros que usan LDAP para la autenticación pero no respetan el indicador de "cuenta deshabilitada". Así que el usuario todavía podría iniciar sesión en la aplicación con una cuenta deshabilitada. Cambiar la contraseña protege contra esto.

    
respondido por el myron-semack 23.02.2017 - 22:09
fuente

Lea otras preguntas en las etiquetas