Maximale Dauer einer User-ID Verlängerung?

[cg-home]

Hallo zusammen,

bei uns standen gerade wieder mal ein paar User an zum Rezertifizieren.
Das ist auch kein Problem und haben wir auch schon oft genug gemacht.
Da bei diesen User wir Admins auch dabei waren hat mein Chef gemeint
dass das eine Gefahr ist, wenn dabei etwas schief geht und wir Admins
uns sozusagen selbst raus hauen. Daher sollte ich uns Admins nach und
nach gleich auf 100 Jahre verlängern.
Das habe ich bei mir mal gemacht und hat auch funktioniert.
Allerdings nur im Directory, dort steht das richtige Ablaufdatum. Aber wenn
ich dann in meine ID sehe, ist dort das Jahr 2021 enthalten.
Kann es sein das es eine maximale Laufzeit für User-IDs gibt?
Und was passiert im Jahr 2021, kommt dann eine Erinnerung oder geht
dann einfach die ID nicht mehr?

In der Hilfe und im Internet habe ich schon danach gesucht aber nur
gefunden, dass es im Standard 2 Jahre sind. Vermutlich habe ich nur wieder
nach den falschen Begriffen gesucht.
Weiß von Euch das jemand zufällig oder hat auch schon Erfahrung damit gesammelt?
Wie handhabt Ihr die Rezertifizierung von Admins?

Gruß
Christian

[Bastel123]

Moin,

hier bei einem Kunden werden die User zur Zeit um 12 Jahre verlängert bzw bis zum voraussichtlichen Renteneintritt, falls dieser früher ist.

Die Admins sind auch bis zum voraussichtlichen Renteneintritt (also bis sie 70 sind ) zertifiziert.

Natürlich braucht man bei so langen Zertifizierungszeiträumen einen Prozeß der einem Infos über das Ausscheiden von Mitarbeitern zukommen läßt. Gesegnet sei die Personalabteilung .

Sebastian

[Peter Klett]

Als ich die User für meine Frau und mich angelegt habe (am 24.12.2011, da hatte ich wohl grad nix besseres vor  ), wollte ich auch den Prozess zur Verlängerung umgehen. In Anbetracht etwas geringer erwarteter persönlicher Restlaufzeiten habe ich, wenn ich mich recht erinnere, einen Zeitraum von 50 Jahren nehmen wollen. Sowohl im Adressbuch als auch in der ID steht als Ablaufdatum 28.12.2053. Also exakt die Zeit hat Notes nicht übernommen, da fehlen ein paar Jahre. Was nach dem Ablaufdatum passiert, kann ich Dir allerdings erst am 29.12.2053 sagen.

Ob ich das dann mit meinen 88 Jahren noch auf die Reihe kriege, werden wir sehen ... 

[cg-home]

Hallo Sebastian,
Und waren bei Deinem Kunden die angegebene Jahreszahl dann auch im Directory
und in der ID enthalten oder ggf. sogar unterschiedlich wie bei meiner?
Bei uns klappt das mit dem Austrittrprozess recht gut. Die Personalabteilung stellt ein Dokument in eine
passende DB, ein Link geht zu den Admins und dieser legt entsprechende Aufgabenpools (Eintritt,
Austritt, Umbenennung) an. Diese Aufgaben kommen dann als Erinnerungsmail zu den Admins. Somit
geht auch uns nichts mehr verloren.

Hallo Peter,
An Weihnachten User anlegen, dass fehlt noch in meiner Sammlung. Aber davor schützt mich ja meine
besere Hälfte ;-).
Wenn ich das recht verstehe, ist das nicht wirklich immer gleich, vielleicht sollte ich meine Kollegen
auch eher auf das "derzeitige" Rentenalter verlängern, um zu sehen ob es mit weniger Jahren besser klappt.
Am besten ich schreibe mir meinen Ablauf-Termin vorsichtshalber in den Kalender. Wäre ja blöd wenn ein Admin
nicht mehr an das eigene System ran kommt.

Das ist übringens einer unsere Töchter schon mal passiert. Da hat ein externen Dienstleister die Verlängerung
erstmal testen wollen (an sich) und hat im Jahr 2007 das Jahr 2010 eingeben wollen, hat aber 2001 eingetragen
und musste dann feststellen das der Zugriffsschutz doch tatsächlich funktioniert.

Danke für Eure Antworten.

Gruß
Christian

[Bastel123]

Hallo Christian,

soweit ich das überblicken kann (war aber nur Überblick) wird das richtige Datum eingepflegt.

Sebastian

[cg-home]

Ich hab es jetzt auch noch mal bei meinem Kollegen getestet
und ihn (bzw. seine ID) um 25 Jahre verlängert.
Im Directory hat er es genau so akzeptiert aber in der
ID meines Kollegen war das exakt gleiche Datum als auch
bei mir enthalten 21.05.2021.
Eine sehr merkwürdige Sache, muss ich auf jedenfall im Auge behalten.

Gruss
Christian

[Hartie]

Hallo,

die maximale Gültigkeit einer ID ist der kleinste Wert aus

Gültigkeit der User-ID
Gültigkeit sämtlicher hierarchisch übergeordneter OUs
Gültigkeit der O.


Wenn die Gültigkeit des User z.B. der 31.12.2099 ist, die O aber nur bis 01.01.2020 gilt, wird die User-ID am frühesten der beiden Termine ablaufen, also am 01.01.2020. Das frühere Datum zeigt Notes auch unter Security Basics unter ID File expiration date so an.

Gruß Hartie

[cg-home]

Hallo Hartie,

das klingt logisch und hatte ich auch schon in Verdacht aber bei den OUs nur
ein Erstelldatum gefunden (im DD) und da mir nicht bewusst war das OUs und Os
mal auslaufen, hatte ich das nicht weiter verfolgt.

Im Admin-Client im Bereich "Konfiguration - Werkzeuge - Zertifizierung" über die
Funktion "ID-Eigenschaften" habe ich mir mal unsere OUs und Os angesehen.
Und wie Du richtig vermutet hast, steht hier unsere O (Organisation) auf 21.05.2021.
Sie wurde nur auf 25 Jahre eingestellt.  
Hierbei tauchen gleich wieder ein paar weitere Fragen auf.

Die O muss man soweit ich weiß mit sich selbst rezertifizieren ist das so korrekt?

Wenn ich die O rezertifiziert habe, müssen dann auch alle OUs und User neu zertifiziert
werden oder bekommen die das automatisch vererbt?

Unsere Firma hat einige Töchter mit eigenen Servern welche die gleiche O verwenden aber
andere OUs und eine extra Domäne haben mit einem eigenen Directory. Muss hier die O auch
neu zertifiziert werden oder kann ich die von uns verwenden?
Muss dann ggf. das Certifikat der O aus dem Directory noch kopiert werden?

Wenn der 21.05.2021 erriecht ist kommt dann kein User mehr auf das System
oder kann dann nur nicht mehr neu zertifiziert werden?

Wann würdet Ihr das machen? Sobald als möglich oder z.B. erst im Jahr 2020?

Wäre Klasse wenn mir hier jemand weiterhelfen könnte, hatte so ein Thema noch nie.

Gruß
Christian