ACTIVE ROLES’ PRESET WORKFLOWS ACCELERATE AND SIMPLIFY TASKS - FORFIRM

Die voreingestellten Arbeitsabläufe von Active Roles beschleunigen und vereinfachen die Aufgaben

ACME Inc. ist ein hypothetisches Telekommunikationsunternehmen. Es beschäftigt weltweit mehr als 100.000 Mitarbeiter. Aufgrund eines wirtschaftlichen Abschwungs war das Unternehmen gezwungen, 40 Prozent seiner Belegschaft zu entlassen, um unter der enormen Schuldenlast weiterzumachen. Einige der Mitarbeiter werden dauerhaft entlassen, andere werden beurlaubt.

George ist IT-Direktor bei ACME. Er und sein Team haben die Aufgabe, dafür zu sorgen, dass diese über 40.000 Mitarbeiter effizient und so reibungslos wie möglich entlassen werden, und dies muss unter Aufrechterhaltung einer sicheren und produktiven Umgebung erfolgen. George wird darüber informiert, dass es regelmäßige Audits durch die interne Unternehmenssicherheit geben wird, um sicherzustellen, dass diese Arbeit auf sichere und konforme Weise durchgeführt wird.

Fred ist einer von zehn IT-Administratoren, die für George arbeiten. Ihm wird die Aufgabe übertragen, den Deprovisionierungsprozess zu verwalten, während andere Administratoren die regulären täglichen Aufgaben und Anfragen bearbeiten. Glücklicherweise verwendet ACME Active Roles. Fred erhält zwei Listen: Eine enthält entlassene Mitarbeiter und die andere ist die Liste der beurlaubten Mitarbeiter. Die Deprovisionierungsaufgaben müssen jedoch an diesem Abend um Mitternacht erfolgen.

Fred erstellt zwei Organisationseinheiten (OUs), eine für jeden Status der betroffenen Mitarbeiter. Anschließend verschiebt er die jeweiligen Benutzerkonten in jeder OU.

Hinweis: Um so große Objektmengen zu verschieben, kann Fred entweder ein einfaches Active Roles PowerShell-Cmdlet oder den integrierten Synchronisierungsdienst verwenden. Beide Methoden können aus einer CSV-Importdatei lesen.

Fred verknüpft dann seine bestehende Deprovisionierungsrichtlinie mit dem Titel „ACME Inc. Deprovisioning“ mit der Organisationseinheit „Gekündigte Konten“. Die „ACME Inc. Deprovisioning Policy“ ist eine automatisierte Richtlinie, die die folgenden Aktionen ausführt:

  1. Macht das Konto für die Anmeldung unzulässig
    • Durch Deaktivierung des Kontos
    • Festlegen des Kontokennworts auf einen zufälligen Wert
    • Benennen Sie das Benutzerkonto um
    • Aktualisieren Sie die entsprechenden Benutzerattribute
  2. Entfernt das Konto aus allen Sicherheits- und Verteilergruppen
  3. Verhindert, dass Benutzer auf das Postfach zugreifen
    • Postfach vor der GAL ausblenden
    • Gewähren Sie dem Manager des Benutzers vollen Zugriff auf das Postfach
  4. Verhindert, dass Benutzer auf den Home-Ordner zugreifen
    • Benutzerberechtigungen entfernen
    • Gewähren Sie dem Manager des Benutzers schreibgeschützten Zugriff
    • Löschen Sie den Home-Ordner, wenn das Benutzerkonto gelöscht wird
  5. Verschiebt das Konto in den Ordner „Zu entfernen“.
  6. Plant die Löschung des Kontos in 30 Tagen
  7. Sendet einen Deprovisionierungsbericht an George, den IT-Leiter

Fred muss nun eine neue Deprovisionierungsrichtlinie für diejenigen erstellen, die beurlaubt werden. Er kopiert die vorhandene Deprovisionierungsrichtlinie und benennt sie in „ACME Inc – Richtlinie für beurlaubte Konten“ um. Anschließend ändert er die Richtlinie und ändert nur die Option in „Benutzerkonto nicht löschen“.


Alle anderen Optionen lässt er unverändert. Anschließend wendet er es auf die neu erstellte Organisationseinheit „Beurlaubte Konten“ an.


Hinweis: Für die Deprovisionierung der beurlaubten Konten gibt es viele Möglichkeiten, das gleiche Ergebnis zu erzielen. In diesem Fall wählt Fred jedoch einen einfachen Point-and-Click-Ansatz, indem er einen der Automatisierungsworkflows von Active Roles verwendet. Mit dieser Methode konfiguriert er die Suchkriterien und verweist auf die Organisationseinheit „Beurlaubte Konten“. Wählt das Objektverwaltungsmodul „Bereitstellung aufheben“ aus und plant die Laufzeit so, dass sie um Mitternacht beginnt. Fred kann darauf vertrauen, dass der Workflow die Deprovisionierungsaufgaben schnell und sicher ausführt.


Fred beginnt nun mit der Aufhebung der Bereitstellung der gekündigten Benutzerkonten, indem er einfach alle Benutzer-IDs in der Organisationseinheit „Beendet“ auswählt und die Registerkarte „Bereitstellung aufheben“ auswählt. Durch die Implementierung solcher Richtlinien über Active Roles hat ACME viel Zeit gespart und sichergestellt, dass alle Aktionen konsistent und ohne menschliches Versagen erfolgen.


Die manuelle Durchführung aller oben beschriebenen Vorgänge für 40.000 Benutzer würde buchstäblich Wochen dauern und mehrere Helpdesk-Ebenen sowie das Eingreifen vieler IT-Mitarbeiter erfordern. Durch die Verwendung von Active Roles kann Fred seine Aufgaben in Sekundenschnelle erledigen. Ohne aktive Rollen bleibt einfach nicht genug Zeit, um sicherheitsbewusst und gründlich vorzugehen. Dies ist das ideale Rezept für IT-Mitarbeiter, Abkürzungen zu nehmen, die zu Risiken, Schwachstellen und Sicherheitslücken führen.


Am nächsten Morgen erhält George, der IT-Direktor, einen Bericht über die Bereitstellung entzogener Benutzer. Dies kann er der IT- und Unternehmensleitung sowie beim nächsten Corporate Audit-Meeting mitteilen.


Active Roles spart erheblichen Administratoraufwand und verkürzt die Zeit, die für die Erledigung dieser gewaltigen Aufgabe benötigt wird, von Wochen auf nur wenige Minuten, ohne dass die Sicherheit darunter leidet.

Sie könnten auch interessiert sein an: Unternehmenscompliance

Zurück zum Blog