Ablaufender Account?

[BenjaminP]

Hallo zusammen,

ich habe jetzt mal einige Zeit danach gesucht, aber irgendwie finde ich keinen Weg, einen Account zum Datum X ablaufen zu lassen...

Es geht mir dabei nicht um die ID Files.
Sondern Benutzer die z.B. einen Internet Logon machen, die nutzen ja keine ID Files.

Im schönen AD von Microsoft kann man einen solchen Account auslaufen lassen.
Aber in Domino finde ich da nichts zu...

Gesetz dem Fall, das geht wirklich so nicht, wie würde es sich denn verhalten, wenn z.B. der Domino per LDAP die Accounts im Microsoft AD nutzen würde... In der Theorie müsste es doch dann eine Meldung zurückgeben, das man sich nicht anmelden kann, wenn der Account abgelaufen ist...

Oder wie ist sowas?

Grüße,
Ben

[m3]

Agent schreiben, der periodisch die Accounts löscht bzw. die Passwörter auf einen neuen Wert setzt?

[BenjaminP]

prinzipiell nicht schlecht...
Aber wo gebe ich dann im Personendokument an, das der Account abläuft.

Es gibt ja nicht wirklich ein Feld dazu.
Und am Directory rumpfuschen ist sicher auch nicht das gelbe vom Ei...?

[Banni]

Das sollte meines Wissens über das Feld "Last Change Date (Internet Password)" im Personendokument des DD regelbar sein. Je nach dem, was noch unter Passwortmanagement eingestellt ist, bekommt der User nach diesem Datum beim Login die FM, dass der Account abgelaufen ist.

[m3]

Über die "password expiration" bzw. ein verpflichtendes Änderungsintervall könnte man zumindest "ältere" User automatisch aussperren.
Und dann wie Banni beschrieben (das Feld "Last change date" wird aktualisiert) anhand des Feldes alte Accounts löschen.

[BenjaminP]

Hallo,

danke erstmal für eure Antworten... Aber irgendwie passt das nicht ganz mit dem zusammen, was ich meine...

Ein Active Directory Account hat eine Option, die sich nennt "Ablaufdatum".
Hier lege ich einen Tag fest, an dem der Account abläuft.
Wenn dieser Tag kommt, kann der Benutzer sich nicht mehr anmelden.
Der Account wird dadurch aber nicht gelöscht oder das passwort in irgendeiner Weise verändert.

Einfaches Beispiel:
Ein Benutzer verlässt der Unternehmen zum Ende des Monats.
Der Windows Admin geht hin und setzt entsprechend das Ablaufdatum.

Und der Domino Admin?

Grüße,
Ben

[m3]

Verschiebt den User in eine No-Access Gruppe.

[BenjaminP]

Das heißt also, er muss das definitiv im Kopf haben, den User auch zur rechten Zeit zu verschieben...

[Steve_O.]

Dazu könnte er den Kalender nutzen...  

Gruß,  Steffen

[atbits]

Nein muss er nicht - Domino ist nur so flexibel, dass es dem Admin die Entscheidung frei läßt, was und wie er es machen möchte.

Daher also einfach wie vorgeschlagen dann den Agenten bauen, der Dir dann die Personen in die No-Access Gruppe einträgt - voila.

Große Macht bedingt große Verantwortung 

Grüße David

[atbits]

Was ihr braucht ist einen sauber definierten Austrittsprozess (einen Eintrittsprozess natürlich ebenso).

Nur so ist klar wer was wann zu tun hat.

Kein Notes, sondern ein Orga-Problem.

David

[Banni]

Einfaches Beispiel:
Ein Benutzer verlässt der Unternehmen zum Ende des Monats.
Der Windows Admin geht hin und setzt entsprechend das Ablaufdatum.

Und der Domino Admin?

Der Domino Admin setzt das Last Change Date (Internet Password). Da wird auch kein Passwort verändert. Mann kann dann durchaus, wie m3 schon geschrieben hat, per Agent die entsprechenden Accounts löschen oder zur No-Access Gruppe verschieben.

Gruß Jan

[ascabg]

Hallo,

@Banni

Der Domino Admin setzt das Last Change Date (Internet Password)

Das interessiert mich nun doch. Wie setzt der Admin denn dieses Datum ohne das PW zu aendern?

Dieses Datum wird doch meines Wissens nach durch den Adminp bei einer Aenderung des Internetkennwortes durch den Benutzer gesetzt.
Und auch wenn das Datum das aktuelle Datem ist, so kann der Benutzer, solange er sein PW kenn doch immer noch ueber den Browser zugreifen.


Andreas

[Banni]

Hallo Andreas,

Du hast natürlich Recht, es muss das PW vom Admin geändert werden, dann wird auch das Last Change Date gesetzt.

Da war ich wohl nicht ganz bei mir. 

Gruß Jan