员工离职的IT流程

自从学了PMP,我越来越意识到流程标准化的重要性。小编我看过的离职流程没有10个也有8个不同版本。作为一个邮件方向的技术人员,我觉得有必要说一下在人员离职后,如何保护邮箱的安全。

以下步骤适用于Exchange 2010/Exchange 2013/Exchange Online(命令行)

首先,禁用Windows账户,以防止离职用户登陆和访问AD数据。可以通过ADUC图形界面完成,也可以使用以下PS命令:
Disable-ADAccount -Identity “CN=离职用户,OU=IT,OU=Users,DC=EXCHANGECN,DC=COM”

第二,将邮箱置于合法保留( Litigation Hold)状态,以防止离职用户篡改或删除邮件,并且对这些操作建立追溯机制。Exchange的缓存数据可以让离职的用户在一段时间内不需要重新建立连接,你肯定不希望他们在回家的路上通过手机连接ActiveSync把邮箱清理干净,通过以下命令可以将邮箱置于挂起状态。
Set-Mailbox –Identity ‘离职用户’ –LitigationHoldEnabled $True -RetentionComment “Employee terminated on 9-July-2015″
相关资料:
了解合法保留

第三,调整邮箱配额防止继续收发邮件也是非常有必要的,有时离职用户会试图将含有私密信息的企业邮件转发到自己的个人邮箱:
Set-Mailbox –Identity ‘离职用户’ –ProhibitSendQuota 0 –ProhibitSendReceiveQuota 0

第四,离职用户可能在组织内部及外部有一定的业务关系,你需要为外部用户建立自动回复,为内部用户建立预提醒(MailTip),以便让相关客户知道接下来要联系谁或怎么做。
Set-MailboxAutoReplyConfiguration –Identity ‘离职用户’ –InternalMessage ‘Mr.X no longer works for us. Talk to HR if you want to know why!” –ExternalMessage ‘Mr.X is no longer an employee of this company. Please contact Mr.Y at xxx@exchangecn.com” –AutoReplyState Enabled
Set-Mailbox -Identity ‘离职用户’ -MailTip ‘Mr.X has left the building. Don’t bother sending email”
当然更高级的玩法是建立一个通讯组,然后针对这个通讯组建立传输规则,一旦有人员离职,就把他邮箱丢到这个组里。
New-TransportRule “Block Email to Disabled Mailboxes” -SentToMemberOf “Disabled and Retained Mailboxes” -RejectMessageEnhancedStatusCode “5.7.929” -RejectMessageReasonText “Regretfully the user that you attempted to contact is no longer with Exchangecn.com” -Enabled $True

第五,许多管理员都知道要从所有的邮件组中将离职用户移除掉,然后请记得把它从全局地址列表里隐藏掉,缓存模式用户的离线地址簿大概在一到两天的时间内会更新。做的到位一点的话可以把SMTP地址也改掉。
Set-Mailbox –Identity ‘离职用户’ –HiddenFromAddressListsEnabled $True

第六,这里建议将离职用户的邮箱移到别的数据库上,这是打断当前登录强制重连的最有效办法,这对第二个步骤做了很好的补充,当然由于迁移数据库需要等待MRS服务完成所有邮件的复制,需要一段时间,这也就是为什么需要在第二步先将邮箱置于合法保留状态的原因。许多公司都有一个存放离职用户邮箱的数据库,当然这个操作仅适用于内部部署,不适用Exchange Online:
New-MoveRequest –Identity ‘离职用户’ -TargetDatabase DisabledMailboxesDB

第七,启用邮箱审计。虽然用户本人的Windows账户被禁用了,但用户可能有委派的代理发送人可以代表用户本人发邮件,包括管理员也是有这个权限的,这就需要开启审计:
Set-Mailbox –Identity ‘离职用户’ –AuditEnabled $True

第八,使用Clear-MobileDevice(适用于Exchange 2013)或Clear-ActiveSyncDevice(适用于Exchange 2010)以清理该邮箱所关联的当前ActiveSync设备的连接:
Get-MobileDevice –Mailbox ‘离职用户’ | Clear-MobileDevice
然后禁止这些设备连接邮箱(第一条命令为查看移动设备名和设备类型)
Get-MobileDeviceStatistics -Mailbox ‘离职用户’ | Select DeviceType, DeviceID
Set-CASMailbox -Identity ‘离职用户’ -ActiveSyncBlockedDeviceIDs Device1ID, Device2ID, Device3ID –ActiveSyncAllowedDevices $Null –ActiveSyncEnabled $False
Get-MobileDevice –Mailbox ‘离职用户’ | Remove-MobileDevice

最后,将用户所有可能的连接协议禁用掉:
Set-CASMailbox –Identity ‘离职用户’ –EWSEnabled $False –IMAPEnabled $False –POPEnabled $False -MAPIEnabled $False –OWAEnabled $False -OWAForDevicesEnabled $False -EWSAllowMacOutlook $False -EWSAllowOutlook -EWSAllowEntourage $False $False -MAPIBlockOutlookRpcHttp $True -ECPEnabled $False

上述所有步骤完成后,您可以选择保留邮箱或将邮件导出到PST。作为一个强烈反对PST的攻城狮(原因请看我的另一篇文章:悉数PST的四宗罪),我建议保留邮箱,因为你一旦使用PST抛弃邮箱,邮件就再不会被eDiscovery搜索到了,从全局管理的角度看,这个邮箱就成了信息孤岛。

再无足轻重的员工,哪怕是实习生,他的邮件也可能包含了公司内部信息,客户信息。任何员工的邮箱都是公司的财富,在有人员离职时,我们既要考虑财富的安全性,也要考虑完整性,二者不可偏废。

李 章毅
Exchange MVP

李 章毅

找张正经又不装逼的照片挺难的。。。
李 章毅
Exchange MVP
发布于: 浏览:7662 次

现有 4 条评论

  1. 游客 2015年8月13日 上午11:14

    这个得学习下

    回复
  2. 游客 2015年8月25日 上午11:44

    员工离职后不是只需要通过ECP删除就可以了啊?邮箱删除后有一段时间的保留期,如果用到该邮箱就重新连接就可以了。另外,如果这个员工需要转移公司资料,他完全可以在离职之前就把信息转移掉啊?

    回复
    1. 李 章毅 2015年8月28日 上午10:40

      我这篇文章讨论的离职用户其实有点恶意用户的性质,他会篡改某些邮件刻意隐藏或修改掉某些客户或者个人档案的重要信息,这就需要启用合法保留及审计对这些操作做记录。而且你直接删除用户会有个问题,外网客户并不知道发生了什么事,这样我就没办法设置自动回复让他们找对应的人。你说的操作办法对一般离职用户管用,但是对于恶意员工或者是高管,则需要更加精细的考虑。

      回复
  3. 游客 2016年11月19日 下午5:52

    同意作者更的观点,对于关键岗位人员的离职,要有更加精细的管控

    回复

欢迎参与到我们的技术讨论,问题和分享都可以。