Löschen / Deaktivieren eines Benutzers, wenn der AD-Benutzer gelöscht oder aus der AD-Gruppe entfernt wird
Beim Import aus der AD werden Benutzer einzeln oder aus Gruppen synchronisiert.
Dieser Sync beinhaltet aber nicht das Deaktivieren / Löschen eines AD Users bzw. entfernen eines Users aus einer AD Gruppe.
Dies MUSS funktionieren.
Derzeit ist es so, dass ein AD-User aus einer synchronisierten AD Gruppe entfernt wird und der User in Password Safe bleibt.
Er kann sich sogar weiterhin einloggen.
Wenn Ich den User komplett aus Password Safe entfernen möchte, muss Ich nun einen erneuten IMPORT starten, der mir u.U. meine Gruppen zerschießt.
Bei einem einzelnen User welcher gesynct wird, sieht die Sache nochmal anders aus:
Der AD User wird gelöscht, der Password Safe User bleibt vorhanden.
Er kann sich nicht mehr einloggen, aber er bleibt vorhanden.
Hier kann der User nicht mehr aus der Übersicht verschwinden, weil ein Rechtsklick - löschen nicht möglich ist (weil AD Sync) und per IMPORT funktioniert dies auch nicht mehr, da der AD User nicht mehr existiert.
Es muss zwingend so aussehen, dass bei einer Löschung eines Users aus der AD, dieser per Sync auch aus Password Safe gelöscht wird oder mindestens DEAKTIVIERT (mit eventuellen Versteckoptionen).
Genau dasselbe gilt für AD Gruppen. User wird aus der Gruppe entfernt und muss dadurch auch in Password Safe deaktiviert oder gelöscht werden.
Liebe Password Safe Benutzer,
seit Version 8.13 werden User, die im Active Directory gelöscht wurden, auch bei der Synchronisation in Password Safe gelöscht.
Zusätzlich gibt es seit 8.13.1 noch die Möglichkeit, explizit mit dem LDAP Filter zu arbeiten. Alle User, die nicht mehr im LDAP Filter angezeigt werden – weil sie beispielsweise nicht mehr Mitglied einer Rolle sind – werden bei der Synchronisation auch in Password Safe gelöscht. Weiter Informationen erhalten Sie hier:
https://support.passwordsafe.de/hc/de/articles/360001591459-LDAP-Filter
Beste Grüße vom Produkt Team
-
Anonymous commented
Ich würde Herrn Bohn zustimmen, dass es sich hier um einen Konzeptfehler handelt, dass ein Dienstkonto hier Domänen-Admin Rechte benötigt.
Ist der Benutzer nicht mehr in einer Gruppe, sollte er nicht mehr Teil einer Rolle ein. Ist der Benutzer nirgendwo mehr Mitglied kann er gleich gelöscht werden.
Solange man das Verhalten aber nicht ändern kann, gibt es eine Anleitung von Microsoft die Lese-Rechte auch einem Dienstkonto auf den Gelöschten Objekten zu setzen:
https://support.microsoft.com/de-de/help/892806/how-to-let-non-administrators-view-the-active-directory-deleted-object -
Markus Bohn commented
Einspruch :-) Ich bitte um erneute Überprüfung dieses Vorschlages.
Wir haben exakt das Problem jetzt das im Password Safe gelöschte AD User weiterhin vorhanden sind.
Der im AD-Profil hinterlegte Benutzer hat in der Regel NIE das Recht auf "Deleted-Objects" im AD. Dieses Recht haben lt. unseren AD-Admins nur die Domain Admins und wird auch nicht an Nicht-Domain-Admins vergeben. Das ist anscheinend auch so von Microsoft nicht vorgesehen.
Ich denke in den wenigsten Fällen ist der Password Safe Administrator eines Unternehmens auch gleichzeitig ein Domain Admin und wenn ist es fraglich ob man diesem "Sync" User gleich Domain Admin Rechte geben sollte/möchte. Von daher verbleiben gelöschte AD User immer in der Passwod Safe DB und werden ja auch dann weiterhin in der Lizenz "gezählt". Was zusätzlich sehr "unschön" ist.
Unserer Meinung nach handelt es sich hier um einen Konzeptfehler. Unsere AD-Admins fragen nach warum MATESO das nicht anders löst wie eine Vielzahl von anderen Anwendungen das auch machen?
Ist ein Benutzer im AD nicht zu finden, dann eben einfach aus der DB löschen! Sollte eigentlich machbar sein. -
Liebe Community,
das oben beschriebene Verhalten ist korrekt.
Wenn ein Benutzer aus einer Gruppe - in Password Safe "Rolle" - entfernt wird, werden ihm nur die Rechte dieser Gruppe entzogen. Der Benutzer selbst verbleibt "natürlich" weiterhin aktiv in Password Safe und kann sich dementsprechend auch weiterhin anmelden.
Wenn ein Benutzer im AD gelöscht wird und auch in Password Safe gelöscht werden soll, dann muss folgendes beachtet werden:
- Der im AD-Profil hinterlegte Benutzer muss im AD selbst die Rechte "Lesen" und "Inhalte auflisten" auf den Ordner "Deleted Objects" haben.
- Bei dem zu löschenden Benutzer muss der Flag "wird synchronisiert" gesetzt sein.Damit wird dann auch ein im AD gelöschter Benutzer in Password Safe gelöscht.