Hallo Zusammen,
in absehbarer Zeit muss ein Administrator-Account bei uns gelöscht werden. Könnt Ihr mir beim Sammeln der Punkte helfen, die ich alle zu beachten habe / ändern muss, damit mir nach Löschung des Accounts nicht der Server crashed?
Vielen lieben Dank an die Runde!
mangler
P.S.: Bisher hab ich folgende Punkte:
- Agenten in kritischen Anwendungen checken
- ACL's prüfen
- Server- und Konfig-Doks prüfen
Im Endeffekt sollten Agenten nie mit einer Administrator ID unterzeichnet sein, sondern entweder mit der Server ID oder einer technischen ID, dann hast du auch keine Probleme beim Löschen des Users.
Die ACLs werden beim Löschen des Users automatisch bereinigt, ebenso Gruppen und Namensfelder in der names.nsf,...
Hallo taurec,
ja genau die Bereinigung ist ja mein Problem!
Ich hatte schon angefangen alle ACLs auf Admin-Gruppen umzubiegen (hoffentlich hab ich alle erwischt) und auch die Agenten entsprechend umzusignieren. Aber leider gibt es vorallem bei den Agenten bei kritischen Anwendungen den Fall, dass gewisse Agenten mit einer aktuellen Admin-ID signiert werden mussten - Server-ID od. ähnl. war vom Hersteller verboten worden und eine Wartungs-ID hab ich (noch) nicht (- sollte ich unbedingt mal machen).
Und dann sind eben noch Konfigurationsdokumente usw. wo ich mir sorgen mache, dass der Admin-P den Administrator löscht und ich genau dieses Feld übersehen habe bei der Verteilung der Admin-Gruppe und dann "irgend was" nicht geht... :undweg:
Gruß
mangler
Noch zu beachten:
- ID-Vault- bzw. Wiederherstellungs-Konfiguration
- CA-Prozess
Gruß, Steffen
Was heisst hoffentlich hast du alle erwischt ?
Markiere im Admin Alle und füge die AdminGruppe zu allen hinzu.
Bei denen wo es nicht geht bekommst du eine Fehlermeldung. Und übersehen kann man so keine DB.
Und zu den Config Dokumenten: Bau dir eben eine Ansicht die alle diese Felder anzeigt, dann siehst du sofort ob du was vergessen hast
IMO wäre es am Einfachsten gewesen, regulär via AdminP "Hans Müller/Firma" in bspw. "Datenbank Admin/Firma" umzubenennen, nach erfolgreicher Umbenennung, die ID zu löschen und neu zu erstellen. So stimmen alle Feldinhalte, die alte ID ist weg und die neue kann dann zur Sicherheit gleich mit einem Mehrfachkennwort gerechnet werden.
Jein, denn wenn der Admin in der Umbenennungszeit noch Zugriff hat, dann bekommt er ja den neuen Namen mit. Und wenn danach der Schlüsselabgleich nicht aktiv ist kommt er ja mit der umbenannten ID wieder drauf
Das stimmt natürlich. Allerdings ging ich davon aus, dass das bedacht wird/wurde und daher die Umbenennung erst nach Auscheiden des Mitarbeiters vorgenommen wird.
/edit:
hab überlesen, dass das erst "in absehbarer Zeit" passieren soll und nicht bereits passiert ist. Umso besser...
Ich wollte es auch nur zu bedenken geben, daß man darauf eben aufpassen muss.
Unter deiner Annahme stimmt das natürlich
Was das Thema ACL's angeht findest Du im Catalog (catalog.nsf) die nötigen Informationen. In den standard Ansichten werden Dir nur ggf. nicht alle DB's angezeigt, hier solltest Du Dir eine entsprechende Ansicht bauen die alle DB's und alle Info enthält.
Sofern mehr als ein Server in der Domäne existiert und die DB repliziert wird hast Du alle Infos in einer DB.
Zum Thema Agenten fällt mir ein Projekt von OpenNTF.org ein:
Agent Monitor. Damit kannst Du Dir einen ziemlich guten ersten Eindruck über alle Agenten in der Domäne verschaffen.
Kete
/edit
An das ID Recovery solltest Du auch denken, sofern das eingesetzt wird.
